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第 三 ， 公 司 若 要 提升 数字 化 适应 力 ， 需要 增强 网 络 安全 团队 与 业务 团队 之 间 的 协作 ， 让 企业 IT 部 门 更 加 注重 适应 性 ， 大 幅 提 升 网 络 安全 功能 
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在 考虑 数字 化 适应 力 之 前 ， 首 先 要 理解 网 络 攻击 与 网 络 安全 ， 以 及 它们 与 数字 生态 系统 的 关系 。 
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竞争 力 下 降 外 国情 报 机 构 出 于 国家 竞争 优势 考虑 ， 窃 取 别 国 知 识 产 权 
跳槽 到 新 公司 的 员工 带 走 客 户 信息 去 为 竟 争 对 手工 作 

违反 监管 与 法 律 ” 网 络 犯 罪 组 织 窃取 客户 数据 ， 供 日 后 进行 身份 盗用 或 医疗 欺诈 
去 后 因 对 公司 政策 不 满 而 公开 敏感 文件 
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宕 Ra 组 织 

业务 中 断 内 部 人 十 因为 怀疑 自己 会 被 炒 负 鱼 而 破坏 企业 数据 

黑客 活动 分 子 引起 注意 而 扰乱 业务 流程 (如 在 线 客户 服务 ) 


网 络 安全 : 公司 如 何 保护 自己 


世界 上 大 部 分 组 织 机构 都 依赖 着 “信息 资产 "， 这 些 信息 资产 ， 有 些 是 结构 化 数据 ， 有 些 是 非 结构 化 
以 及 从 客户 服务 到 供应 商 付款 人 在 线 济 得。 ] 于 攻击 者 个 
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三 个 方面 :风险 管理 功能 、 影 四 人 妈 倪 和 (delivery) 功能 。 

先 ， 网 络 安全 本 质 上 是 风险 管理 ， 因 为 没有 办 法 阻止 所 有 网 络 攻 击 的 发 生 。 正 如 一 位 首席 信息 安全 官 〈CISO) 所 说 :我 的 工作 不 是 降低 风 
险 ， 而 是 让 企业 能 够 明智 地 接受 一 些 风险 。” 

如 sd de 束 要 承担 相应 的 风险 。 因为 新 型 移动 平台 给 攻击 者 获取 公司 数据 提供 了 新 途径 。 但 如 果 公 司 希 望 这 
个 平台 能 提高 每 个 的 平均 收入 ， 那 么 作为 风险 管理 者 ， 就 需要 帮助 企业 领导 权衡 网 络 安全 风险 。 CISO 应 回答 以 下 问题 : 
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其 次 ， 网 络 安全 工作 具有 影响 作用 。CISO 和 企业 领导 共同 商讨 企业 安全 风险 与 投资 回报 之 间 的 关系 后 ， 企 业 各 个 部 门 再 采取 相应 的 执行 措 
施 : 采购 团队 就 安全 需求 进行 谈判 并 EF 写 入 合同 ， 管理 者 必须 限制 机 密 文 件 的 分 发 范围 ， 开发 人 员 要 设计 安全 的 应 用 软件 ， 编 写 安 全 的 代码 。 网 
络 安全 工作 必然 涉及 大 量 的 利益 相关 者 ， 其 中 有 些 工 作 需 要 按照 法 律 法 规 开 展 ， 有 些 工 作 则 需要 采取 更 为 贴 合 的 、 更 有 效果 的 措施 。 


最 后 ， 网 络 安全 具有 交付 作用 ， 包 括 管理 防火 墙 、 入 侵 检 测 、 恶 意 软件 检测 、 身 份 管理 和 准 入 管理 等 技术 ， 也 要 管理 一 些 保护 信息 资产 和 在 线 
流程 安全 的 行为 ， 如 采集 和 分 析 威 胁 情 报 、 取 证 分 析 。 


业务 功能 的 网 络 安全 不 同 于 组 织 机 构 功 能 的 网 络 安全 。 一 家 公司 可 能 将 所 有 或 大 部 分 风险 管理 、 影 响 及 交付 活动 整合 到 单一 的 网 络 安全 团队 或 
分 布 到 几 个 组 织 机 构 里 。 


三 


数字 生态 系统 : 公司 不 能 仅 靠 一 己 之 力 保护 自己 


组 织 机 构 首先 要 保证 自己 安全 ， 才 能 为 庞大 的 数字 生态 系统 提供 安全 保护 〈 见 图 0-1) 。 数 字 生 态 系统 包括 : 


“企业 客户 : 企业 客户 连接 到 企业 网 络 中 处 理 业务 增加 了 便利 性 ， 但 也 增加 了 企业 的 安全 风险 。 攻 击 者 可 能 会 利用 客户 的 IT 环境 作为 入 侵 企 
网 络 的 途径 。 同 时 ， 企 业 客户 也 会 担心 企业 是 如 何 保护 自己 的 数据 的 。 这 两 种 情况 对 企业 安全 保护 能 力 提 出 了 更 高 的 要 求 。 


零售 客户 : 相对 于 企业 客户 ， 普 通 消费 者 对 网 络 风险 没有 那么 敏感 ， 不 过 ， 企 业 保护 数据 的 方式 可 能 已 经 影响 他 们 的 购买 决定 了 。 


.企业 供应 商 : 某 种 情况 下 ， 律 师 事务 所 、 会 计 师 事务 所 、 银 行 、 业 务 流程 外 包 服 务 商 等 供应 商 将 会 掌握 公司 最 敏感 的 数据 。 考 虑 到 公司 网 络 
的 互联 性 ， 供 应 商 网 络 也 可 能 成 为 攻击 入 口 点 。 


情报 风险 规定 和 限制 


企业 供应 商 Eu 公司 


情报 及 
风险 转移 ”风险 风险 修复 相互 支持 


保险 公司 技术 供应 商 民间 团体 


图 0-1 公司 面临 广泛 的 网 络 安全 风险 


-技术 供应 商 : 供应 商 既 能 提供 风险 控制 ， 但 同时 也 是 风险 引入 源 。 我 们 购买 的 任何 技术 都 可 能 有 安全 缺陷 ， 出 现 让 攻击 者 有 机 可 乘 的 弱点 。 
技术 供应 商 可 提供 能 让 公司 降低 风险 的 商品 和 服务 ， 通 过 消除 漏洞 、 分 析 网 络 攻击 等 方式 降低 风险 ， 保 护 企业 的 技术 环境 。 


-政府 部 门 : 公共 部 门 在 影响 网 络 安全 环境 中 扮演 着 多 重 角色 ， 包 括 调查 攻击 、 起 诉 攻击 者 、 规 范 私营 公司 ， 有 时 要 求 企业 采取 特别 保护 措 
施 ， 批 准 企业 网 络 安全 策略 。 它 们 也 调整 法 律 、 开 展 安全 研究 、 分 享 情报 或 传播 安全 技术 。 


民间 团体 : 从 行业 协会 到 标准 制定 机 构 和 倡议 组 织 ， 有 大 量 民 间 团 体 参 与 到 数字 生态 系统 中 。 
-保险 公司 : 网 络 保险 尚 处 于 早期 阶段 ， 但 即使 在 今天 ， 有 些 保险 公司 为 了 换取 保险 费 ， 愿 意 承 接 企业 的 网 络 攻击 风险 。 


什么 是 数字 化 适应 力 


人 网 络 安全 何 时 会 得 到 解决 、 _ 网 络 攻击 的 风险 何 时 
心 重 安全 


能 远 去 、 何 时 能 不 再 为 此 担 
他 们 会 将 这 些 与 民航 业务 类 比 。 在 喷气 机 时 代 ， 会 发 生 一 些 可 怕 的 事故 ， 现 在 ， 航 空 公司 非 常 注 ， 搭 


苹 出 租车 前 往 机 萄 却 成 


为 飞机 旅行 最 危险 的 一 个 环节 。 
或 许 拿 开车 来 比喻 网 络 安全 更 合适 。 比 起 民航 出 行 风险 ， 开 车 是 更 多 人 利用 更 多 车 辆 从 事 更 为 广泛 的 活动 ， 风 险 更 大 。 我 们 可 以 通过 提高 最 低 
各 车 年 龄 至 30 岁 、 限 制 最 高 时 束 25 英 里 > 


如 果 一 位 银行 业 CEO 不 用 担心 市 场 风险 和 信用 风险 ， 他 就 绝 不 会 询问 有 关 事 情 。 但 他 明白 他 所 在 的 机 构 是 通过 接受 这 些 风 险 来 换取 有 经 济 收益 
的 业务 的 ， 因 此 ， 他 的 业务 需要 了 解 市 场 风险 、 信 用 风险 以 及 其 他 风险 ， 并 在 有 潜在 收益 的 情况 下 ， 适 当地 管理 这 些 风 险 。 


考虑 到 当前 社会 数字 化 程度 越 来 越 高 ， 科 技 创新 速度 加 快 ， 攻 击 者 可 能 超出 执法 机 关 的 控制 等 情况 ， 我 们 不 能 期 望 很 快 消除 网 络 攻击 对 世界 经 
济 的 影响 。 不 过 ， 企 业 和 全 球 经 济 体 可 寄 希 望 于 达到 数字 化 适应 力 的 状态 ， 包 括 : 


:应 了 解 网 络 攻击 的 风险 ， 并 且 能 做 出 恰当 的 商业 决策 。 通 过 经 济 收益 证 明 ， 不 断 递增 的 风险 是 可 以 接受 的 。 
:应 坚信 网 络 攻击 风险 是 可 以 控制 的 ， 网 络 攻 击 风险 不 会 将 公司 置 于 风险 高 位 。 

“消费 者 与 企业 应 对 在 线 业 务 有 信心 一 信息 资产 面临 的 风险 及 在 线 欺 诈 风 险 并 不 会 阻碍 电子 商务 的 发 展 。 
网络 攻击 风险 不 会 阻碍 公司 的 技术 创新 步伐 。 
在 这 样 的 背景 下 ， 世 界 经 济 论坛 和 麦肯锡 咨询 公司 已 经 开展 合作 ， 了 解 如 何 帮助 企业 与 国家 都 达到 自己 的 安全 期 望 。 


背景 与 方法 


自 2011 年 以 来 ，" 超 级 互联 世界 中 的 风险 与 责任 "成 为 世界 经 济 论 坛 的 一 个 议题 。2012 年 年 中 ， 该 论坛 又 与 近 百 家 公 司 合作 签署 了 《网 络 适 应 
力 标 准 》。 标 准 中 要 求 各 参与 公司 承担 起 义务 ， 要 认识 到 自己 在 促进 3 单 性 数字 经 济 中 能 够 发 挥 的 作用 ， 并 制订 实用 、 有 效 的 实施 计划 。 
也 鼓励 高 级 管理 层 增强 风险 意识 ， 提 高 对 网 络 风险 的 管理 能 力 ， 并 且 在 适当 的 情况 下 ， 促使 供应 商 和 客户 对 弹性 数 经 济 具 有 同样 的 认识 。” 
2014 年 达 沃 斯 世界 经 济 论坛 中 ， 麦肯锡 受 邀 对 论坛 高 层 管理 人 员 i 行 辅导 ， I 网 络 安全 及 行业 数字 化 适应 力 的 管理 水 
平 ， 行 业 不 仅 局 限于 技术 与 通信 ， 还 包括 金融 服务 、 制 造 业 、 证 活 消费 品 、 交通 运输 、 能 源 及 公营 部 门 。 

麦肯锡 与 该 论坛 共同 认为 ， 人 
的 所 有 参与 者 都 应 制订 如 何 实现 数字 化 适应 力 的 计划 ， 更 重要 的 是 ， 让 高 层 管理 者 将 网 络 安全 看 作 一 个 业务 问题 ， 而 非 技术 问题 。 


我 们 从 2013 年 晚 春 开始 收集 数据 ， 在 夏 、 秋 季节 构思 并 验证 我 们 的 假设 ，2014 年 达 沃 斯 世界 经 济 论坛 年 会 上 我 们 分 享 了 成 果 。 


事实 基础 


通过 采访 180 多 位 CIO、CISO、 首 席 技术 官 〈CTO) 、 首 席 风 险 官 CCRO) 、 ce 监管 者 、 政 策 制 定 者 、 技 术 供应 商 ， 我 们 获 和 
态 系统 中 所 有 参与 者 对 网 络 安全 整体 环境 理解 的 信息 。 此 外 ， 通过 对 近 百 个 企业 拷 术 用 户 的 调查 ， 我 们 清晰 地 了 解 到 业务 风险 、 弥 跨 成 肋 及 


一 系列 措施 的 潜在 影响 。 最 后 ， 有 超过 60 家 世界 500 强 企业 参与 了 针对 网 络 安全 风险 管理 实践 的 详细 调查 〈 见 表 0-2) 。 


表 0-2 ”我 们 的 研究 基于 大 量 调查 与 研究 


信 息 ~ 来 源 


CIO、CISO、CTO、CRO 及 金融 服务 、 保 险 、 医 疗 保健 、 
高 科技 及 通信 、 媒 体 、 工 业 、 公 共 部 门 等 的 企业 部 门 主管 
采访 180 乡 位 行业 领 和 决策 者 、 监 管 者 、 国 防 及 情报 界 人 十 
地 域 包 含 美洲 、 欧 洲 、 中 东 及 非洲 、 亚 洲 


内 容 涵盖 : 
。 最 重要 的 经 营 风 险 
调查 近 100 个 技术 管理 者 网络 攻击 风险 对 业务 的 影 啊 
。 对 外 部 环境 的 观点 
。 增 强 适 应 力 的 措施 


基于 180 个 最 住 实践 对 网 络 安全 rs 管理 能 力 进 行 评 佑 


:十 x 证 2 
人 包括 金融 服务 、 医 疗 保健 、 保 险 及 其 他 来 自 美洲 、 欧 洲 、 
中 东 及 非洲 和 亚洲 的 参与 者 
在 有 超过 500 名 高 管 、 决 策 者 、 学 者 及 意见 领袖 参加 的 多 
个 活动 中 检验 : 
一 系列 论坛 的 验证 了 巴 库 、 布 鲁 塞 尔 、 
大 连 等 地 举行 的 世界 经 济 论坛 活动 


。 麦 肯 锡 召开 了 由 银行 业 及 攻 天 疗 保健 行业 CISO 参与 的 论坛 


不 同 场景 与 经 济 影响 


我 们 从 被 采访 人 的 观点 中 发 现 ， 在 未 来 5~7 年 网 络 安全 环境 如 何 变化 由 20 多 种 因素 决定 ， 可 以 概括 为 威胁 的 强度 及 应 急 响 应 的 质量 这 两 个 宏观 
类 别 ， 未 来 可 能 出 现 三 种 网 络 安全 场景 : 对 网 络 安全 环境 不 了 解 、 网 络 安全 环境 受到 强烈 攻击 、 网 络 安全 环境 具有 数字 适应 性 。 


基于 来 自 采访 及 调查 研究 中 的 信息 ， 我 们 估计 了 每 个 场景 将 如 何 影响 云 计算 、 移 动 互 联网 、 物 联网 等 一 系列 重要 科技 创新 的 应 用 ， 以 及 对 价值 
创造 的 影响 程度 。 


实现 数字 化 适应 力 的 天 键 措施 


在 采访 及 调查 研究 中 ， 网 络 安全 生态 系统 中 每 个 参与 者 已 经 采取 哪些 最 重要 措施 ， 
务 功能 中 会 采取 什么 措施 。 


在 定义 安全 场景 、 评 估 经 济 影响 和 识别 关键 措施 的 时 候 ， 我 们 都 会 将 偶然 发 现 与 几 十 位 CITO、CISO、 决 策 者 及 其 他 相关 高 管 一 起 评审 。 我 们 会 
在 硅谷 、 日 内 瓦 及 华盛顿 等 地 的 工作 会 上 ， 麦 肯 锡 组 织 召 开 的 执行 官 圆桌 会 议 ， 大 连 举行 的 世界 经 济 论坛 新 领军 者 年 会 上 进行 这 些 评审 工作 。 


我 们 特别 关注 的 ， 尤 为 注重 


加 
六 
到 
从 
还 


我 保护 时 ， 在 所 有 业 


人 


2014 年 1 月 26 日 ， 我 们 将 自己 的 研究 成 果 总 结 发 表 在 一 份 报告 中 3， 并 且 ， 在 达 沃 斯 世界 经 济 论坛 的 召开 过 程 中 ， 我 们 与 80 多 位 高 管 及 决策 者 
在 非 公 开会 议 中 讨论 了 我 们 的 研究 成 果 。 目 前 ， 已 有 证 据 表 明 研 究 成 果 逐 渐 达 到 了 预期 目标 。《CSo 杂 志 》 解 释 ， 我 们 估计 的 3 万 亿美 元 经 济 
影响 \ 吸 引 了 每 个 人 的 注意 ， 原 因 在 于 ， 这 看 上 去 不 仅仅 是 直接 损失 ， 还 有 因 企业 和 个 人 回避 数字 化 "而 未 能 实现 的 价值 创造 值 ”。4 

我 们 展示 了 研究 成 果 后 ， 麦 肯 锡 及 世界 经 济 / a te ed 开展 哪些 工作 。 在 支持 重要 机 构 制定 网 络 安全 策略 、 


实施 网 络 安全 项 目的 基础 上， 麦肯锡 进一步 帮助 企业 机 构 明 确 应 采取 的 自我 保护 措施 。 同 时 ， 世 界 经 济 论坛 举行 了 数 十 次 有 几 百 家 公司 参与 的 
工作 会 目的 是 在 沿 络 安全 生态 系统 所 有 参与 者 中 构建 起 相互 协作 支持 的 关系 ， 达成 数字 化 适应 旋 。 


本 


由 陆 


[1] 1 英里 二 1609.344 米 。 


大 部 分 组 织 机 构 面临 信息 资产 被 盗窃 、 在 线 业 务 流程 遭 故 意 破坏 等 严重 的 商业 风险 。 如 果 公司 、 政 府 及 其 他 组 织 机 构 继续 以 原 有 的 方式 应 对 这 
些 问题 ， 那 么 网 络 攻 击 的 风险 会 让 技术 进步 的 脚步 放 缓 ， 并 在 2020 年 导致 高 达 3 万 亿美 元 的 经 济 价值 损失 。 


在 更 广泛 的 网 络 安全 生态 系统 的 支持 下 ， 为 了 实现 数字 化 适应 力 ， 公 司 必 须 让 网 络 安全 成 为 业务 及 信息 技术 流程 的 一 部 分 。 
本 书 主要 针对 以 下 三 大 问题 : 

(1) 网 络 攻击 风险 有 哪些 ， 在 未 来 几 年 ， 其 影响 将 如 何 演变 。 

(2) 在 技术 投资 和 技术 创新 中 ， 公 司 如 何 实现 数字 化 适应 力 ， 如 何 保护 自己 不 受 攻击 。 
(3) 企业 和 公共 部 门 领导 该 采取 怎样 的 实施 步 又 来 实现 数字 化 适应 力 目标 。 


出 


3 万 亿美 元 处 于 危险 中 


出 


徇 着 网 络 攻击 。 有 近 八 成 的 技术 执行 官 称 ， 与 攻击 者 日 益 成 熟 先进 的 攻击 
从 国家 级 扩展 到 不 法 分 子 和 黑客 组 织 ， 他 们 更 具 破 坏 性 野心 。 


手段 相 比 ， 他 们 的 防护 相对 落后 。 而 攻击 者 的 战略 战术 正在 


公司 在 开展 网 络 安全 防护 方面 可 能 花费 儿 千 万 甚至 儿 亿美 元 的 资金 ， 但 制定 有 效 的 网 络 安 全 决策 时 仍 缺 少 事实 根据 和 有 效 的 流程 。 在 我 们 详细 
调查 的 60 多 家 组 织 机 构 中 ， eh 六 成 仍 处 于 "发 展 中 “， 很 少 达 到 "成 熟 “， 没 有 一 家 是 ` 稳 健 % 的 。 很 多 
沁 构 只 是 看 上 去 在 这 个 问题 上 投了 很 多 ， 但 更 多 的 支出 并 没有 苇 化 为 志高 的 安全 成 所 性 。 

订 二 的 本 间 和 全 会 可 站 隐语 雪 全 人 和 但 已 经 对 商业 发 展 产生 了 负面 影响 。 例 如 ， 由 于 安全 考虑 ， 造 成 公司 的 移动 功能 软件 
上 线 时 间 平 均 拖 延 了 6 个 月 ， 进 一 步 延缓 了 企业 使 用 公共 云 服务 的 时 间 。 在 将 近 3/4 的 企业 中 ， 安 全 控制 措施 降低 了 员工 分 享 信息 的 能 力 ， 从 
而 降低 了 前 线 生 产 效率 。 此 外 ， 网 络 安全 直接 花费 即使 较 少 ， 间 接 消耗 也 很 大 。 一 些 CI 介绍 ， 他 们 整体 经 费 支出 中 安全 需求 经 费 占 比 为 


J 
20%~30%。 


和 下 然而 ， 相 对 于 防御 者 ， 如 困 攻 击 者 的 优势 地 位 持续 提升 ， 那么 可 能 会 导致 网 络 环境 受到 攻 

击 ， 降 低 数字 化 发 展 步伐 。 在 这 种 情况 下 一 些 相对 小 型 的 攻击 就 会 降低 公众 对 经 济 的 信任 ， 导致 政府 出 台新 规定 、 企 业 机 构 放 慢 科 技 创新 的 

光 伐 ;我 们 预计 到 2020 ， 大 数据 、 移动 互联 网 等 科技 创新 将 给 世界 带 来 8 万 亿 ~18 万 亿美 元 的 价值 ， 然 而 ， 在 网 络 受 到 攻击 的 情况 下 ， 这 个 

字 ; 小 


人 政府 及 广大 社会 团体 必须 争取 具有 数字 化 适应 力 ， 以 实现 技术 创新 的 完整 价值 。 这 意味 着 ， 网 络 安全 必须 提 上 企业 议程 和 政治 性 议 
王 o 


本 书 第 一 部 分 讲述 的 便 是 此 问题 。 第 1 章 论 证 对 网 络 攻击 的 担忧 已 然 影响 企业 公司 从 科技 投资 中 创造 价值 的 能 力 。 第 2 章 展 示 儿 种 潜在 场景 ， 
这 些 场 景 描述 了 网 络 安全 环境 在 未 来 5~7 年 将 如 何 演变 ， 更 具体 地 解释 我 们 之 所 以 认为 3 万 亿美 元 处 于 危险 中 的 理由 。 


数字 化 适应 力 保护 商业 、 促 进 创新 


对 很 多 企业 来 说 ， 七 八 年 前 网 络 安全 还 不 是 优先 考虑 的 事 。 即 便 是 大 型 高 端的 IT 机 构 ， 在 网 络 安全 防护 上 投入 都 相对 较 少 ， 对 技术 漏洞 可 能 


造成 的 商业 风险 缺乏 洞察 力 。 以 前 企业 安全 防护 注重 维护 网 络 边界 ， 而 IT 安全 公司 主要 是 负责 远程 安全 维护 、 部 署 杀 毒 软件 等 工作 ， 违 背 企 
业 安全 策略 的 管理 人 员 及 一 线 员 工 很 少 需要 承担 后 果 ， 不 安全 的 应 用 代码 、 不 安全 的 基础 设施 配置 也 很 普遍 。 


自 那 时 起 ， 企 业 开始 建设 网 络 安全 控制 功能 。 到 目前 成 立 了 正式 的 网 络 安全 机 构 ， 设 置 了 首席 信息 安全 官 (CISO) ， 并 给 予 大 量 资金 投入 ， 
各 锁定 合式 机 和 笔记 本 电脑 ， 以 防 终端 用 户 不 经 意 问 给 公司 融 来 源 洞 。 还 引入 了 体系 结构 标准 ， 审 核 软件 开发 流程 以 
识别 和 修复 新 应 用 程序 中 的 安全 漏洞 。 


将 网 络 安全 看 作 一 种 安全 功能 ， 这 非常 重要 ， 能 大 幅 降 低 企业 的 安全 风险 。 但 是 ， 随 着 网 络 攻击 的 持续 上 升 ， 网 络 防 御 变 得 越 来 越 难 〈 见 图 
0-2) 。 安 全 工作 一 和 主要 由 企业 网 络 安全 团队 厌 得， 但 它们 也 只 能 努力 阻止 过 去 的 攻击 。 在 维护 网 络 安全 控制 功能 时 ， Vo EAE NE 
复 检查 ， 这 不 利于 网 络 安全 工作 的 大 规模 开展 。 在 开展 安全 检查 时 ， 企 业 依 赖 人 工 干预 就 像 使 用 一 套 落 伍 的 检查 程序 茫然 地 检查 对 象 质量 一 
样 。 但 重要 的 是 ， 这 增加 了 两 络 安全 与 企业 创新 和 妥 活 性 之 间 的 冲突 。 
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集成 的 网 络 安全 
2014 ~ 2020 年 


的 1T 和 业务 流程 的 集成 度 


网 络 安全 不 是 首要 考虑 ”| 网 络 安全 作为 控制 功能 
2007 年 前 2007 ~ 2013 年 


乏 


Ry 
1 


更 广 


浇 


低 高 
i 
安全 控制 程度 


图 0-2” 随 着 威胁 增加 ， 现 有 的 网 络 安 全 模型 变 得 越 来 越 难以 站 得 住 脚 


实现 数字 化 天 应力， 企业 需要 从 根本 上 改变 组 织 结构 3 和 针 网 络 安全 与 业务 流程 结合 ， 改 变 IT 管 理 方式 。 具 体 来 说 ， 数 字 化 适应 力 有 以 下 7 


(1) 基于 业务 风险 ， 定 义 信 息 资产 的 优先 级 。 大 多 数组 织 机 构 不 清楚 需要 保护 哪些 信息 资产 ， 哪 些 信息 资产 的 保护 优先 级 最 高 。 网 络 安全 团 
队 必 须 与 业务 负责 人 紧密 合作 ， 理 解 整个 价值 链 中 的 业务 风险 ， 从 而 给 信息 资产 划分 优先 级 。 


(2) 给 最 重要 的 资产 提供 特别 保护 。 很 少 有 公司 能 够 采 系统 化 方法 ， 人 司 的 重要 程度 相 匹配 。 通 过 采 
取 恰 当 的 控制 ， 间 靖 保 蔡 业 失 最 是 的 资源 配置 到 保护 最 重要 的 信息 资产 上 


(3) 将 网 络 安全 融入 企业 全 面 风险 管 理 及 治理 过 程 。 网 络 安全 几乎 与 企业 所 有 重要 业务 流程 交织 在 一 起 。 公 司 必 须 让 网 络 安全 团队 与 公司 每 
个 重要 职能 部 门 保持 紧密 沟通 ， 如 产品 开发 、 市 场 营销 、 采 购 、 公 司 行政 、 人 力 资源 、 风 险 管 理 ， 只 有 这 样 ， 才能 使 公司 领导 层 在 保护 信息 资 
产 和 业务 的 高 效 运作 间 做 出 合适 的 权衡 取舍 。 


(4) 让 员工 主动 保护 个 人 信息 资产 。 员 工 往往 是 企业 网 络 安全 最 大 的 弱点 一 员工 点 击 不 安全 的 链接 ， 使 用 不 安全 的 密码 ， 将 敏感 文件 用 电子 
邮件 广泛 传播 。 应 根据 员工 所 需要 访问 的 资产 ， 对 员工 分 类 管理 ， 帮 助 每 组 人 员 理 解 日 常 工作 活动 可 能 带 来 的 安全 风险 。 

(5) 让 网 络 安全 与 IT 环境 紧密 结合 。 几 乎 IT 环境 的 每 个 组 成 部 分 都 会 影响 到 企业 安全 保护 能 力 一 从 应 用 程序 开发 到 老 旧 硬 件 设备 的 更 换 策 
En 从 员工 入 职 第 一 天 起 便 对 每 个 员工 进行 培训 ， 让 他 们 融入 技术 项 


(6) 部 署 主动 防御 措施 应 对 攻击 者 。 大 量 有 价值 的 信息 可 能 遭受 攻击 ， 既 可 能 来 自 外 部 ， 也 可 能 来 自 企 业内 部 技术 环境 。 企 业 应 综合 分 析 与 


攻击 相关 的 信息 ， 主 动 应 对 攻击 者 ， 从 而 及 时 调整 防御 措施 。 


(7) 提高 跨 部 门 的 应 急 响 应 能 力 。 不 管 是 技术 团队 ， 还 是 市 场 营销 、 行 政 或 是 客户 服务 部 门 ， 如 果 不 能 及 时 响应 入 侵 攻击 ， 将 对 业务 造成 破 
坏 。 企 业 应 开启 跨 部 门 的 * 网 络 战争 游戏 “， 以 提升 实时 响应 能 


此 中 有 以 下 三 个 关键 点 : 
(1) 技术 负责 人 认为 ， 就 数字 化 适应 力 来 讲 ， 完 整 采取 上 述 措施 可 能 会 带 来 颠覆 性 改变 。 

(2) 其 中 只 有 两 个 是 主要 的 网 络 安全 手段 ， 其 余 则 需要 IT 技术 或 业务 流程 的 改变 。 

(3) 公司 采取 上 述 措施 的 速度 还 不 够 快 。 目 前 ， 技 术 执 行 官 给 所 在 公司 的 努力 程度 打分 普遍 为 C、C-。 

本 书 第 3~7 章 重点 讨论 了 这 7 种 手段 。 第 3 章 主 要 讲述 如 何 划 分 业务 风险 优先 级 、 如 何 设置 对 重要 信息 资产 的 不 同 级 别 保护 。 第 4 章 的 视角 为 妇 


为 如 
何 将 网 络 安全 融入 企业 业务 决策 、 如 何 帮助 最 终 用 户 保护 信息 资产 。 第 5 章 介绍 网 络 安全 如 何 成 为 IT 环境 的 一 部 分 。 第 6 章 描述 将 情报 、 分 
析 、 操 作 与 主动 防御 结合 ， 以 更 快 响应 即将 出 现 的 威胁 。 第 7 章 通过 模拟 作战 过 程 来 讲述 如 何 构 建 跨 企业 的 应 急 响 应 能 力 。 


I 


网 络 安全 有 多 种 特性 ， ld 种 整体 方式 来 解决 网 络 安全 问题 。 
全 ， 这 就 意味 着 ,很 多 与 网 络 安 4 的 决策 都 会 产生 深远 的 市 场 影响 、 战 略 影响 ， 这 就 要 求 有 高 级 管理 者 的 参与 。 但 是 ， 想 让 合适 的 高 级 管 
el 是 很 难 的 ， 因 世 网 络 安全 的 语言 全 些 哗 浊 ， 网 络 安全 团队 往往 与 高 级 管理 者 缺乏 沟通 ， 并 且 少 有 工具 可 对 网 络 安全 威 肋 或 减 组 


上 
I 


这 


i 
dy 
成 
Ee 


E 业 开展 的 网 络 安 全 工作 都 是 为 了 避免 出 现 上 述 这 些 问 题 ， 而 非 解 决 问题 。 它 们 开始 机 械 化 地 评估 风险 ， 但 却 无 法 发 现 真 正 的 安全 问题 ; 

也 没有 考虑 全 面 的 降低 风险 机 制 ， 它 们 将 实现 数字 化 适应 力 看 作 安 全 控制 的 技术 项 目 ， 而 不 是 作为 有 重大 技术 影响 的 商业 策略 及 作战 计划 ; 或 
许 最 糟糕 的 是 ， 它 们 忽略 了 让 高 级 管理 人 员 参 与 这 一 点 。 
要 设计 出 一 个 能 快速 、 持 续 发 展 进而 达成 数字 化 适应 力 的 有 效 网 络 安全 项 目 ， 要 围绕 以 下 三 个 原则 : 


人 
管理 风险 


(2) 在 IT 组 织 机 构 里 ， 注 重 适应 力 ， 促 进 安 全 、 效 率 及 敏捷 度 的 结合 ， 确 保 IT 管 理 者 从 一 开始 就 为 了 适应 力 和 安全 而 设计 技术 平台 。 


(3) 大 幅 提升 网 络 安全 团队 的 技术 和 能 力 ， 管 理 者 能 理解 业务 风险 ， 与 业务 合作 伙伴 有 效 协 作 ， 能 驾驭 快速 变化 的 技术 环境 ， 对 应 用 程序 和 
基础 设施 环境 有 所 影响 ， 实 施主 动 的 防御 战术 。 


这 意味 着 ， 企 业 应 制订 一 个 精心 策划 、 有 长 远 目 标的 工作 计划 ， 而 企业 也 倾向 于 在 跑 之 前 先 学 会 走路 。 但 不 幸 的 是 ， 攻 击 者 不 会 耐心 地 等 待 企 
业 渐进 地 提升 自己 的 网 络 安全 能 力 。 现 在 ， 企 业 必须 以 积极 主动 且 坚 定 的 方式 开展 网 络 安全 工作 。 


可 


只 有 建立 广泛 的 生态 系统 才能 实现 数字 化 适应 力 


然 企业 必须 提升 自己 的 能 力 ， 但 是 机 构 个 体 不 能 仅仅 保护 自己 ， 政 府 、 私 营 机 构 、 社 会 组 织 应 通力 合作 ， 创 建 适 应 性 强 的 数字 生态 系统 。 


企 

对 于 政府 采取 的 某 些 行动 是 否 有 用 、 是 否 可 行 ， 有 各 种 各 样 的 观点 。 国 家 应 创建 国家 网 络 安全 战略 ， 在 政府 公共 部 门 间 明确 责任 ， 并 给 公共 机 
构 和 民间 机 构 提 供 支 持 和 帮助 。 执 法 部 门 、 检察 和 司法 部 门 应 提高 对 网 络 安全 问题 的 熟悉 程度 及 专业 知识 ， 以 更 好 地 应 对 网 络 犯罪 。 国 家 之 间 
全 问题 ， 并 不 断 增加 这 一 领域 的 透明 度 ， 促 进 积极 性 、 约 束 及 这 一 领域 行动 目标 的 透明 度 。 


安 
& 键 的 是 ， 行 业 协 会 、 志 愿 组 织 应 促进 企业 间 共 享 信息 、 传 播 最 佳 实践 经 验 、 共 同 面 对 并 解决 挑战 性 问题 ， 最 终 建立 起 共享 的 实用 工具 来 
要 的 网 络 安全 功能 
办 


同时 ， 金 融 机 构 和 保险 公司 应 通过 建立 网 络 攻击 风险 价格 来 支持 企业 持续 的 发 展 与 进步 。 


本 书 最 后 两 章 内 容 讨 论 商业 领袖 如 何 实现 数字 化 适应 力 目 标 。 第 8 章 介 绍 企业 如 何 设计 、 推 出 有 可 持续 发 展 的 网 络 安全 项 目 ， 第 9 章 讲述 了 在 
促进 数字 化 适应 力 之 路 上 ， 数 字 生 态 系统 中 更 广泛 的 参与 者 所 扮演 的 角色 ， 包 括 监管 者 、 供 应 商 等 。 


se 需要 有 力 的 变革 。 对 于 公司 来 说 ， 应 从 控制 功能 的 视角 管理 网 络 安 全 ， 过 渡 
到 将 保 和 产 的 措施 融入 业务 流程 及 整个 IT 环境 中 。 此 外 ， 监管 者 、 技 术 供应 商 及 执法 部 门 应 与 公司 企业 协作 ， 创 建 一 个 数字 化 适应 力 
的 生 ; 杰 系 统 “加 此 规模 的 安全 与 和 杂 性 ， 需 要 资深 的 商业 领袖 及 决策 者 的 积极 参与 。 


和 


交流 ， 应 优先 考虑 网 纤 


第 1 章 ”网 络 攻 击 危 及 公司 的 创新 步伐 


商务 投资 时 ， 一 般 都 需要 对 潜在 风险 及 预期 收益 作 利 疾 权 衡 分 析 。 例 如 ， 新 的 债券 利率 是 否 足够 补偿 违约 风险 ? 进入 新 兴 
场 可 能 获得 的 收入 ， 是 否 会 高 于 投资 一 旦 被 新 政权 没收 的 风险 ? 海洋 深水 钻井 所 获取 的 石油 价值 是 否 会 超出 一 旦 发 生 灾 难 性 事故 
所 造成 的 损失 ? 要 回答 这 些 问 题 ， 必 先 认真 评估 商业 风险 度 。 风 险 越 高 ， 越 难 促成 投资 。 


技术 投资 亦 是 如 此 。 在 进行 技术 投资 时 ， 也 通常 需要 权衡 风险 与 收益 。 然 而 ， 对 于 企业 来 讲 ， 全 球 网 络 连 接 性 的 不 断 提 升 使 


得 风险 和 收益 都 随 之 提高 。 昌 然 ， 网 络 连 接 后 会 得 到 更 高 的 商业 回报 ， 但 是 网 络 连接 得 越 紧密 ， 网 络 攻击 者 能 利用 的 安全 隐患 就 
越 多 ， 攻 击 者 一 旦 入 侵 后 造成 的 破坏 就 越 大 。 因 此 ， 制 造 商 投资 新 产品 时 ， 是 打赌 该 产品 能 防止 知识 产权 窃取 行为 ;零售 商 投资 
移动 商务 时 ， 是 打赌 网 络 诈骗 不 会 严重 损害 盈利 能 力 ; 银行 投资 顾客 数据 分 析 时 ， 是 打赌 其 所 分 析 的 敏感 数据 不 会 被 网 络 罪 犯 容 
走 。 在 这 些 赌博 中 ， 占 胜算 的 一 方 不 是 制造 商 、 零 售 商 或 者 银行 等 公司 ， 而 是 网 络 攻 击 者 。 大 多 数 公 司 对 网 络 安 全 采取 较为 孤立 
且 被 动 反 应 式 的 方法 ， 在 不 久 的 将 来 ， 网 络 攻击 者 可 大 显 身手 。 


我 们 对 商业 领袖 、CIO、CTO 及 CISO 进 行 采访 后 发 现 ， 对 网 络 安全 的 担忧 已 然 影响 到 大 型 机 构 对 用 技术 创新 来 创造 价值 的 
兴趣 及 能 力 。 不 论 是 直接 的 还 是 间接 的 损失 ， 以 及 防范 攻击 者 所 需 的 高 额 成 本 和 漫长 时 间 ， 都 降低 了 技术 投资 的 预期 经 济 效益 。 
简 而 言 之 ， 公 司 针 对 网 络 攻击 所 采用 的 防御 方式 限制 了 它们 利用 技术 创新 获取 更 多 价值 的 能 力 。 


网 络 攻击 风险 降低 了 信息 技术 的 价值 


企业 对 网 络 安全 的 担忧 造成 三 个 方面 的 不 利 影响 : 一 线 生产 效率 降低 、 具 有 高 价值 的 !T 项 目 获得 的 资金 支持 较 少 以 及 新 技术 
应 用 较 慢 。 


一 线 生产 效率 降低 


相 比 几 年 前 ， 企 业 设置 了 更 多 安全 控制 来 限制 员工 利用 科技 。 比 如 ， 不 允许 在 公司 台式 电脑 上 安装 应 用 程序 、 关 闭 USB 端 口 
阻止 访问 Dropbox 等 云 服务 、 禁 止 高 管 们 将 公司 笔记 本 电脑 带 到 某 些 国家 或 一 回国 就 重新 格式 化 计算 机 ， 甚 至 在 有 的 公司 ， 层 
层 安 全 控制 让 开机 过 程 变 得 费时 、 令 人 不 快 。 


也 许 ， 企 业 网 络 安全 团队 有 充分 理由 推行 这 些 措 施 。 例 如 ， 未 知 程序 可 能 是 防毒 程序 无 法 检测 到 的 恶意 软件 ，USB 端 口 可 能 
成 为 感染 病毒 的 源头 ，USB 端 口 及 网 络 服务 都 可 能 是 非法 复制 敏感 数据 的 途径 。 


然而 ， 职 员 则 会 认为 上 述 安全 控制 规定 有 些 苛刻 。 更 糟糕 的 是 ， 这 些 会 直接 影响 生产 效率 及 员工 士气 。 譬 如， 销售 人 员 不 能 
把 新 产品 视频 介绍 存 到 USB 存 储 器 里 拿 给 潜在 客户 看 ， 将 要 出 国 的 高 管 得 先 把 通信 录 拷 贝 到 一 次 性 手机 上 ， 他 们 在 国外 的 时 候 还 
不 能 用 自己 的 笔记 本 登录 Skype 与 在 国内 的 亲属 通话 。 


安全 控制 措施 还 会 限制 一 线 员工 进行 实验 研究 ， 而 很 多 从 信息 技术 中 获取 的 价值 就 来 源 于 实验 。 在 20 世 纪 80 年 代 ， 最 初 开 
始 使 用 Lotus 1-2-3 软 件 构建 报表 模型 的 银行 家 们 并 没有 得 到 公司 IT 的 支持 。20 年 后 ，IT 人 员 也 不 知道 一 小 群 高 管 开始 使 用 黑莓 
手机 相互 联络 了 。 上 述 创新 行为 若 放 在 今天 显然 违反 了 大 多 大 型 公司 的 信息 安全 策略 。 


以 上 因素 导致 的 结果 就 是 ，10 个 技术 高 管 中 有 9 个 都 会 说 网 络 安全 控制 措施 对 终端 用 户 的 生产 效率 产生 了 影响 ;在 高 科技 部 
门 ， 有 六 成 高 管 表 示 对 生产 力 的 影响 是 主要 让 人 头痛 的 问题 。 一 位 来 自 大 型 银行 的 高 级 技术 经 理 称 ， 如 果 CEO 知 道 因 员工 要 应 
付 安全 控制 而 白白 浪费 了 多 长 时 间 的 话 ， 他 “会 把 我 们 都 吊 死 的 ”。 一 家 高 科技 公司 的 ClSO 表 示 ， 他 相信 安全 控制 是 一 些 优秀 
的 工程 师 离开 公司 的 一 个 原因 。 


不 笠 的 是 ， 在 很 多 情况 下 ， 严 格 的 安全 控制 并 不 能 解决 最 初 想 要 解决 的 问题 ， 而 且 还 会 导致 员工 完全 回避 公司 IT 部 门 的 控 
制 ， 从 而 大 大 增加 了 风险 ， 这 颇具 讽刺 意味 。 举 例 来 说 ， 在 一 家 证 券 公司 ， 很 多 银行 家 都 为 单位 电脑 的 开机 启动 时 间 长 及 其 他 安 
全 控制 而 感到 不 快 ， 于 是 他 们 不 再 带 着 公司 笔记 本 出 差 ， 而 是 买 来 便宜 的 不 带 安全 控制 的 笔记 本 电脑 ， 使 用 免费 的 网 页 电子 邮箱 
服务 来 进行 相互 沟通 。 


甚至 连 政府 雇员 也 会 寻找 变通 方法 来 应 对 安全 控制 。2010 年 一 项 针对 美国 联邦 官员 的 调查 显示 ， 有 近 2/3 的 人 表示 ， 安 全 限 
制 让 他 们 无 法 从 一 些 网 站 获取 信息 或 使 用 与 工作 相关 的 应 用 程序 ， 对 此 ， 他 们 的 解决 办 法 是 : 使 用 非 政府 机 构 的 设备 来 得 到 他 们 
所 需 的 信息 。 实 际 上 ， 有 超过 一 半 的 人 称 他 们 会 在 家 里 获取 需要 的 信息 ， 而 不 是 在 办 公 室 ， 以 此 规避 安全 控制 1。 


具有 高 价值 的 !T 项 目 获得 的 资金 支持 较 少 


相 比 整体 IT 预 算 和 营业 收入 ， 网 络 安 全 直接 支出 虽然 较 少 但是， 由 于 对 如 应 用 程序 开发 和 基础 设施 等 其 他 IT 用 途 的 下 游 效 
应 ， 网 络 安全 仍 在 能 创造 价值 的 IT 项 目 中 挤占 着 资源 。 


很 难 获知 公司 会 花费 多 少 资金 用 来 保护 自己 免 受 网 络 攻击 。 诸 如 防火 墙 管理 、 身 份 和 访问 管理 (1&AM) 等 一 些 安全 相关 的 
工作 可 能 列 入 安全 预算 内 ， 或 者 也 可 能 包含 在 IT 其 他 方面 的 预算 内 。 加 之 各 公司 在 安全 态势 上 的 差异 ， 这 就 意味 着 ， 不 同 公司 在 
网 络 安 全 上 花费 的 值 域 较 大 。 通 常 ， 网 络 安全 方面 会 占 IT 预 算 的 2%~6%， 不 过 ,我 们 知道 一 些 公司 这 个 数字 会 达到 8%~9%， 
一 般 ， 这 样 的 公司 会 对 安全 有 着 严格 要 求 ， 抑 或 它们 正在 开展 提高 安全 能 力 的 大 型 项 目 ( 见 图 1-1) 。 


医疗 保健 领域 网 络 安全 支出 占 IT 整体 支出 的 百分比 〈 选 定 的 部 分 公司 ) (%) 
9.0 


5.0 
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wn vy 
的 变化 从 


图 1-1 网 络 安全 支出 在 IT 整体 预算 中 的 比例 差异 非常 大 ， 即 使 是 在 同一 个 领域 


相 比 企业 IT 其 他 领域 ， 网 络 安 全 方面 的 发 展 更 为 快速 但是， 在 大 多 数 公司 里 ， 网 络 安 全 直接 支出 看 上 去 并 没有 那么 多 。 虽 
然 一 些 大 型 银行 和 通信 公司 会 花费 数 亿美 元 用 于 增强 网 络 安全 ， 但 另 有 很 多 大 型 公司 的 这 项 花费 要 少 得 多 。 举 例 来 说 ， 一 家 总 收 
入 为 250 亿 美元 的 制造 企业 的 IT 支 出 为 收入 的 2%， 这 部 分 支出 中 有 5% 是 用 于 网 络 安 全 的 ， 那 么 该 公司 网 络 安全 支出 仅 为 2500 万 
美元 ， 所 占 其 少 。 在 2.1 万 亿美 元 的 全 球 企业 IT 预 算 中 ， 网 络 安 全 只 有 900 亿 美元 ， 这 其 中 有 3/4 用 于 硬件 、 软 件 和 服务 ，1/4 用 
于 内 部 劳动 力 ( 见 图 1-2) 。 


应 用 软件 : 
1 440 亿 美元 


基础 设施 软件 : 加 
1 280 亿 美元 860 亿 美元 


采购 支出 : 网 络 安全 : 
16 050 亿 美元 640 亿 美元 
硬件 : 3 380 亿 美元 
Tr 服务 : 9 310 亿 美元 | 阳 和 24% 
21 410 亿 美元 


应 用 程序 开发 和 维护 :| 9 


2 040 亿 美元 
数据 中 心 和 网 络 : 
1 260 亿 美元 ”内 部 26% 
内 部 支出 3 终端 用 户 : | 
5 360 亿 美元 580 亿 美元 网 络 安 


网 络 安 全 : 全 支出 
220 亿 美元 
其 他 用 途 : 
1 260 亿 美元 


图 1-2 企业 IT 总 支出 超 2 万 亿美 元 ， 而 网 络 安全 总 支出 不 足 1000 亿 美元 


很 多 技术 高 管 认为 ， 他 们 为 保护 公司 安全 已 经 伦 费 足够 多 的 资金 了 。 我 们 采访 到 的 高 管 中 有 略 超 过 一 半 的 人 表示 ， 公 司 在 网 
络 安 全 上 的 花费 额 是 适量 的 ， 只 有 约 1/3 表 示 这 部 分 开销 明显 太 低 了 。 一 些 CISO 告 诉 我 们 ， 他 们 在 预算 上 有 求 必 应 ， 比 起 资金 来 
说 ， 让 他 们 更 感到 受 束缚 的 是 缺乏 优秀 人 才 。 据 互联 网 解决 方案 供应 商 思 科 公 司 估计 ， 在 全 球 范围 内 ， 对 安全 专业 人 员 的 需求 与 
可 用 人 才 之 间 的 缺口 可 高 达 100 万 人 *。 几 乎 每 位 CISO 都 告诉 我 们 ， 他 们 可 以 得 到 招聘 更 多 员工 的 批准 ， 但 无 法 足够 快 地 招 到 能 
填补 空缺 职位 的 人 员 。 


不 同行 业 的 CISO 对 他 们 所 需 的 预算 有 着 截然 不 同 的 看 法 。 超 过 六 成 的 金融 服务 和 高 科技 公司 表示 ， 它 们 有 足够 多 的 网 络 安 
全 预算 ， 但 只 有 不 到 四 成 的 保险 公司 和 约 1/4 的 医疗 保健 公司 表达 了 同样 的 看 法 。 近 乎 2/3 的 医疗 保健 公司 技术 高 管 称 他 们 公司 
的 网 络 安全 预算 太 少 了 ( 见 图 1-3) 。 


基于 公司 当前 的 发 展 成 熟 度 ， 公 司 在 网 络 安全 上 的 花费 是 多 是 少 ? 
受 访 者 的 百分比 (%) 


受 访 者 所 在 领域 
口 
银行 业 “| 医疗 保健 | 高 科技 | 保险 
明显 太 少 
36 py 64 17 38 
适量 
5S] 62 27 67 38 
明显 太 多 
0 0 0 0 0 
不 确定 ， 很 难说 
13 12 9 17 23 
图 1-3 ”一半 技 术 高 管 认为 公司 在 网 络 安全 上 的 花费 足够 多 


当 包 括 在 安全 团队 外 实施 的 间接 安全 活动 花费 时 ， 在 网 络 安全 上 的 花费 数额 便 大 幅 增加 了 。 很 多 组 织 机 构 不 仅 在 IT 安全 之 外 
执行 一 些 与 安全 相关 的 功能 ， 而 且 ， 安 全 团队 采取 的 很 多 措施 为 应 用 程序 开发 、 基 础 设施 及 更 广泛 的 业务 团体 创建 了 很 多 资金 没 
有 着 落 的 任务 。 开 发 者 花费 数 月 或 数 年 时 间 重 构 应 用 程序 以 达到 安全 标准 ; 网 络 团队 人 花费 数 干 万 美元 重新 配置 网 络 以 让 其 更 加 安 
全 ; 系统 管理 员 人 花费 无 数 个 时 日 给 数 以 万 计 的 服务 器 安装 安全 补丁 ;经 过 多 年 的 基础 设施 优化 ， 很 多 IT 部 门 能 在 几 个 小 时 或 几 天 
准备 一 台 服 务 器 ， 然 后 要 人 花 三 四 周 的 时 间 来 进行 安全 相关 的 配置 ， 这 都 意味 着 要 花费 成 本 。 


我 们 请 CIO、CTO、CISO 们 来 做 个 估计 ， 有 多 少 非 安 全 性 IT 预 算 实 际 用 在 了 安全 上 。 坦 白地 说 ,很 多 人 对 此 不 知情 ， 但 确 
定数 目 一 定 不 小 。 那 些 能 说 出 花费 金额 的 人 占 预算 的 25%~309%， 这 意味 着 ， 直 接 和 间接 安全 活动 相 结合 消耗 了 IT 预算 的 1/3。 


当今 世界 ， 渴 望 技 术 创 新 的 企业 遇 到 有 限 的 IT 预 算 的 困难 ,企业 领导 痛苦 地 抱怨 开发 和 运行 应 用 程序 的 花费 ， 每 年 ， 针 对 IT 
部 门 所 有 资金 能 做 的 项 目 都 有 激战 ， 这 就 意味 着 安全 需求 正 从 能 创造 价值 的 [T 中 “ 寺 ” 走 大 量 资源 。 


新 技术 应 用 较 慢 


cIO 及 CTO 们 的 时 间 表 里 排 满 了 创新 议程 。 高 级 管理 人 员 、 客 户 及 最 终 的 股东 期 待 他 们 在 诸多 领域 推出 新 功能 ， 比 如 云 计 
算 、 大 数据 、 电 子 商务 、 物 联网 、 移 动 商务 、 企 业 移 动 化 等 。 


几乎 大 家 都 告诉 我 们 ， 在 落实 新 技术 中 ， 安 全 往往 是 瓶颈 ， 这 需要 一 些 实际 工 作 来 评估 供应 商 提 供 的 新 产品 的 漏洞 、 找 到 安 
全 地 设计 解决 方案 的 办 法 。 举 例 来 说 ， 安 全 团队 必须 评估 新 型 移动 设备 来 判定 设备 本 地 人 存储 什么 数据 、 防 止 未 经 授权 访问 的 身份 
验证 机 制 有 多 牢靠 。 他 们 必须 评估 新 的 外 部 面向 网 络 (web-facing) 的 功能 ， 来 查看 它 是 否 创建 一 个 能 被 攻击 者 所 利用 的 进入 
面向 客户 系统 的 入 口 点 ， 还 要 分 析 攻 击 者 会 如 何 渗入 新 的 功能 ， 识 别 潜在 漏洞 、 设 计 成 本 和 便利 性 所 能 接受 的 控制 。 


所 有 这 些 任务 都 需要 时 间 去 完成 ， 尤 其 是 刚刚 出 现 的 技术 ， 还 未 在 现实 世界 中 得 到 足够 的 压力 测试 ， 这 将 大 幅 拖延 新 功能 的 
引入 时 间 。 一 家 医疗 设备 公司 的 CISO 解 释 道 ， 他 们 用 了 一 年 时 间 才 找到 安全 方法 将 有 网络 连 接 的 设备 置 入 手术 室 环境 。 

对 于 很 多 技术 来 说 ， 滞 后 时 间 都 相对 较 短 ， 至 少 目前 是 这 样 的。 上 T 管 理 者 告诉 我 们 ， 安 全 需求 让 大 数据 分 析 、 移 动 服务 、 在 
线 服 务 、 在 线 支 付 的 实现 延迟 了 不 到 三 个 月 时 间 。 不 过 ， 很 多 人 解释 称 ， 那 是 由 于 企业 的 当务之急 ， 除 了 推出 新 技术 别 无 选择 ， 


即使 安全 问题 仍 不 清晰 。 


其 中 ， 受 影响 最 大 的 莫 过 于 云 计 算 和 移动 化 ( 见 图 1-4) 。 平 均 来 讲 ， 企 业 移动 功能 的 实现 被 推迟 了 6 个 多 月 ， 云 能 力 
被 推迟 的 更 长 ， 出 于 安全 的 考虑 ， 很 多 公司 表示 ， 在 可 预见 的 未 来 ， 它 们 不 会 将 敏感 数据 存储 在 公共 云 上 。 


企业 移动 化 方面 的 推迟 的 主要 原因 在 于 ， 很 多 CISO 所 认为 的 企业 移动 安全 模型 不 稳固 。 一 位 从 事 金 融 服务 业 的 CISO 告 诉 我 
们 : “我 们 开始 用 移动 设备 进行 试验 了 ， 然 而 ， 出 现 推迟 的 原因 在 于 移动 设备 会 制造 的 潜在 威胁 数量 。” 从 事 医 院 网 络 的 一 位 
CISO 也 面临 着 类 似 的 挑战 。“ 有 几 干 名 医生 都 想 访 问 、 进 网 ， 但 是 他 们 还 想 做 自己 的 事情 。 我 们 必须 确保 在 他 们 之 间 的 一 切 都 
是 安全 的 ， 自 然而 然 ， 一 些 系 统 就 不 得 不 推迟 。” 


对 你 们 的 企业 机 构 来 说 ， 就 以 下 创新 ， 你 认为 对 网 络 攻击 的 担忧 会 产生 
多 少 个 月 的 推迟 ? 〈 受 访 者 被 要 求 至 少 选择 三 种 创新 ) 


单位 : 推迟 的 月 数 5 提 到 频率 最 多 的 技术 
Ai 
公共 去 计算 75 
在 低 消费 国家 的 企业 地 点 及 69 站 
技术 远 帮 ee 
企业 移动 化 6.3 
外 部 伙伴 协作 4.5 
私有 云 计算 4.5 
与 客户 和 交易 对 手 更 加 迅速 、 ”站 get se 
紧密 的 联系 . 
在 线 商 务 4.0 
跨 部 门 技术 在 线 客户 关怀 3.4 
快速 进入 新 的 区 域 市 场 3.3 
移动 支付 3.1 : 
与 客户 创建 更 直接 的 关系 2.8 
移动 服务 2.4 
大 数据 分 析 2.0 
在 线 支付 1.1 
在 线 服务 04 
图 1-4 公司 最 担心 的 是 移动 和 云 计算 的 安全 隐患 


结果 就 是 ， 大 多 机 构 都 集中 在 覆盖 面相 对 较 窒 的 移动 能 力 上 ， 比 如 电子 邮件 、 日 历 同步 工 具 ， 这 些 只 能 给 用 户 提 供 一 小 部 分 


在 笔记 本 电脑 上 所 拥有 的 功能 。 


至 于 推迟 使 用 公共 云 则 由 多 个 因素 造成 。 昌 然 一 些 管理 人 员 强 调 了 与 安全 无 关 的 一 些 原因 (比如 合 规 方面 考虑 或 “ 非 我 发 
明 ” 综 合 征 ) ， 但 是 ， 在 采访 中 管理 者 们 也 提出 了 一 些 明 显 的 安全 方面 考虑 ， 特 别 值得 提 及 的 是 ， 有 的 人 感觉 很 多 供应 商 的 安全 
模型 是 缺乏 透明 度 的 ， 还 有 的 认为 ， 多 组 织 用 户 共享 的 公共 云 架 构 缺 乏 如 精心 设计 的 本 地 环境 所 提供 的 深层 防御 ， 一 些 人 不 确定 
合同 条 款 与 条 件 如 何 设 计 以 解决 网 络 安全 担忧 。 


结果 ， 受 访 高 管 中 有 六 成 表示 ， 安 全 方面 的 担忧 让 公司 推迟 使 用 云 环境 一 年 或 更 多 的 时 间 。 我 们 将 在 第 2 章 讲 到 ， 这 样 的 推 
迟 席卷 全 球 经 济 时 ， 会 产生 重大 的 经 济 意义 。 


很 多 ClO 还 担心 ， 对 网 络 攻击 的 担忧 会 放 慢 企业 机 构 应 用 “ 物 联网 ”的 速度 ，“ 物 联网 ” 即 物 与 物 相连 接 的 互联 网 ， 从 冰 
箱 、 恒 温 控 制 器 到 汽车 、 重 型 机 械 等 设备 连接 入 互联 网 。 很 容易 理解 物 联网 带 来 的 丽 惧 ， 比 如 将 汽车 连 入 互联 网 ， 假 如 攻击 者 能 
利用 这 些 连接 来 肆意 破坏 或 甚至 只 是 监控 动向 ， 都 是 很 危险 的 。 以 色 列 的 网 络 安全 研究 员 已 经 证 明 ， 他 们 可 以 远程 接管 控制 一 辆 
汽车 。“ 


监管 审查 可 进一步 推迟 技术 创新 的 推出 。 在 2013 年 ， 一 家 银行 进行 了 98 次 监管 审计 ， 当 一 家 公司 不 得 不 向 数 十 位 不 同 的 监 
管 者 解释 某 项 新 技术 如 何 能 保障 安全 ， 而 且 是 在 不 同 的 时 间 、 被 提问 不 同 的 问题 ， 创 新 的 步伐 就 大 幅 下 降 了 。 


对 每 个 人 来 说 风险 都 很 高 ， 而 且 风 险 无 处 不 在 


在 技术 圈 里 ， 数 字 化 可 能 是 个 流行 词 ， 这 也 代表 了 一 个 真实 、 重 要 的 动态 : 经 济 价值 普遍 向 网 络 转移 。 企 业 机 构 正 将 业务 流 
程 自动 化 ， 建 立 起 与 客户 、 供 应 商 的 网 络 连 接 ， 用 数字 化 操控 有 价值 的 知识 产权 。 如 今 ， 制 造 商 可 以 在 在 线 平台 上 进行 原材料 的 
投标 ， 已 经 实现 完全 自动 化 的 、 实 时 的 企业 级 网 络 竞 投 。 医 院 逐 渐 将 患者 的 病例 存储 在 网 上 ， 这 样 ， 病 例 就 可 很 轻松 地 得 到 共 
享 ， 可 促进 更 好 的 协作 ， 存 储 更 全 面 的 医疗 结果 ， 甚 至 可 促进 远程 治疗 。 很 多 证 券 交 易 从 来 不 用 经 过 人 手 ， 完 全 是 借助 计算 机 算 
法 来 进行 ， 只 在 毫秒 之 间 (有 了 时 甚至 是 微 秒 ) 。 


举 个 例子 ， 就 用 比较 普遍 的 汽车 保险 来 说 ， 每 一 步 都 可 转 为 依赖 技术 来 完成 ， 通 常 可 在 网 上 进行 沟通 ( 见 图 1-5) 。 


加 网 络 服务 器 CO 互联 网 
一 :来 站 客户 一 至 客户 


外 部 环境 口 内 部 环境 
一 内 部 流程 客户 交互 


政策 应 用 


图 1-5 “外 部 连接 性 对 大 多 企业 来 说 是 不 可 或 缺 的 〈 以 汽车 保险 为 例 ) 
客户 在 网 上 浏览 不 同 的 保险 公司 ， 阅 读 其 他 客 聚合 网 站 以 获得 最 好 的 报价 。 
.为 获取 报价 ， 客 户 在 线 填 写 一 些 个 人 基本 共 


， 信息 ， 保 险 公 司 可 利用 这 些 信 息 来 与 多 个 公共 币 
公共 犯罪 数据 库 匹 配 ， 还 有 保险 公司 自己 的 特定 车 型 安全 可 靠 性 数据 库 ) 。 


户 的 评论 和 评分 ， 客 户 还 可 到 第 三 


0 私有 数据 库 匹配 来 衡量 风险 〈 比 如 ， 根 据 邮编 来 与 
.接着 ， 客 户 填写 完整 申请 一 同样 ， 

及 细节 都 是 通过 电子 邮件 发 送 到 客 

-在 出 现 小 事故 的 时 候 ， 客 户 提出 索赔 要 求 ， 而 此 时 保险 公司 可 能 已 经 了 解 情况 
给 保险 公司 。 甚 至 ， 保 险 人 于 


R 青 况 ， 因 为 车 载 信息 系统 不 断 给 制造 商 发 回报 告 ， 然 后 报告 会 共享 
已 经 自动 提醒 了 其 优先 选择 的 汽车 修理 三 ， 为 车 辆 修理 进行 了 预定 。 


.都 是 在 线 操作 ， 通 过 安全 电子 邮 


箱 ， 最 完善 的 还 会 使 用 电子 签名 一 通过 安全 的 网 站 付款 


。 所 有 的 保险 政策 


对 于 保险 公司 和 客户 来 说 ， 技 术 为 双方 都 创造 了 价值 ， 以 降低 成 本 的 形式 ， 提 供 新 客户 产品 服务 、 与 客户 关系 更 为 紧密 、 更 
好 为 客户 服务 。 汽 车 保险 业 的 情况 也 几乎 可 适应 于 其 他 可 以 想见 的 行业 。 


企业 公司 必须 处 理 好 各 种 各 样 的 威 肋 和 风险 


随 着 数字 化 进程 的 推进 ， 公 司 面临 着 一 系列 与 网 络 攻击 有 关系 的 风险 。 
欺诈 


随 着 在 线 金 融 交 易 越 来 越 普遍 ， 网 络 欺诈 的 机 会 也 开始 暴 增 。 网 络 罪犯 会 开 立 虚拟 信用 账户 用 欺骗 手段 购买 商品 和 服务 ， 或 
者 ， 他 们 能 控制 合法 账户 并 套 空 其 中 的 资金 。 任 何 对 网 络 犯罪 的 评估 都 不 一 定 准 确 ， 但 取 其 中 一 个 估计 结果 为 例 


证 最 近 , 计 
算 机 安全 公司 麦 咖啡 (McAfee) 和 美国 战略 与 国际 研究 联合 发 布 报告 ， 估 计 网 络 犯罪 将 会 占 全 球 国 内 生产 总 值 (GDP) 的 
0.89%6。4 


黑客 能 利用 客户 社会 保险 号 码 、 财 务 记录 、 医 疗 记 录 等 客户 数据 来 从 事 网 络 欺诈 ， 或 者 ， 黑 客 会 将 数据 拿 到 黑市 上 出 售 给 
着 同样 目的 的 人 。 举 例 来 说 ， 电 子 健康 记录 中 包含 的 信息 可 被 用 来 支付 保险 公司 的 相关 服务 ， 而 保险 公司 可 能 根本 没有 提供 该 项 
服务 。 处 方药 品 数据 可 用 来 从 多 家 药店 完成 医药 处 方 ， 这 样 剩余 药品 可 转 售 。 事 实 上 ， 健 康 记录 经 常 含有 开 立 信用 账户 或 其 他 金 


融 账户 所 需 的 足够 信息 ， 这 就 可 导致 更 直接 的 盗窃。 罪犯 也 会 将 名 人 的 医疗 信息 卖 给 没有 道德 的 媒体 ， 或 者 他 们 可 能 用 令 人 敌人 
的 医疗 信息 来 敲诈 勒索 患者 。 结 果 ， 通 过 偷盗 手段 获取 的 一 个 人 的 医疗 记录 可 卖 到 500 美 元 ， 相 比 之 下 ， 偷 来 的 含有 社保 号 码 、 
出 生日 期 等 美国 身份 的 信息 可 卖 25 美 元 ， 而 “失效 ” (可 能 是 过 期 了 ) 的 信用 卡号 码 只 卖 得 一 两 美元 。” 

客户 数据 遭 到 大 量 损害 不 仅 给 客户 带 来 不 便 ， 企 业 公司 也 会 失去 客户 的 信任 ， 同 时 带 来 不 小 的 修复 成 本 。 在 2014 年 5 月 ， 美 
国 知名 购物 网 站 eBay 透 露 ， 攻 击 者 损害 了 2.33 亿 账户 的 用 户 和 名、 密码、 手机 号 码 及 物理 地 址 等 信息 ， 人 迫使 该 公司 请 求 所 有 用 户 
修改 密码 。6 自 那 时 起 ， 在 英国 的 民意 调查 显示 ， 近 半 消 费 者 表示 ， 由 于 此 次 攻击 ， 他 们 未 来 不 太 可 能 再 使 用 eBay。 之 后 ， 还 是 
2014 年 ， 在 盈利 电话 会 议 上 ，eBay 的 CEO 约 翰 . 多 纳 霍 表示 ， 由 于 攻击 影响 到 了 业务 总 量 ， 该 公司 将 2014 年 的 销售 目标 降低 了 
两 亿美 元 。8 除 了 对 客户 的 影响 ， 修 复 攻 击 漏洞 的 花费 也 是 昂贵 的 。 研 究 机 构 波 耐 蒙 研究 所 (Ponemon Institute) 预计 ， 攻 击 
漏洞 造成 的 平均 损失 为 350 万 美元 ，? 而 大 型 攻击 的 花费 很 容易 就 可 达到 数 亿美 元 。 美 国 零售 商 塔 吉 特 百货 告诉 投资 者 ， 与 2013 
年 遭受 的 针对 7000 万 客户 记录 的 漏洞 相关 的 花费 包括 偿付 欺诈 、 卡 片 补 发 、 民 事 诉讼 、 政 府 调查 、 律 师 费 及 调查 费用 ， 此 外 
还 有 修复 漏洞 需要 的 增 量 操作 和 资本 支出 。 10 


知识 产权 丢失 


现代 企业 的 大 多 价值 在 于 知识 产权 (IP) ， 而 非 机 器 、 建 筑 等 有 形 资 产 。 产 品 设 计 、 制 造 工 艺 、 营 销 策划 乃至 电影 剧本 
一 一 IP 是 个 诱 人 的 目标 ， 如 今 很 多 都 以 电子 形式 保存 ， 因 此 发 动 网 络 攻击 的 时 机 可 谓 成 熟 。 美 国 知识 产权 盗窃 研究 委员 会 (The 
Commission on the Theft of American Intellectual Property) 的 报告 预计 ， 利 用 网 络 进行 的 知识 产权 盗窃 每 年 让 美国 经 济 


损失 3000 人 美元 。11 
处 于 不 利 地 位 的 协商 


一 般 来 说 ， 管 理 人 员 在 网 上 通过 电子 邮件 或 即时 消息 来 沟通 ， 甚 至 在 讨论 敏感 协商 的 时 候 也 是 如 此 。 谈 论 话题 或 许 包括 有 可 
能 发 生 的 合并 或 合资 经 营 、 新 的 采购 协议 、 开 采 权 益 (几乎 没有 什么 被 认为 是 不 能 通过 电子 邮件 讨论 的 ) 。 然 而 ， 举 例 来 说 ,一 
家 公司 如 何 达 成 协议 、 愿 意 支 付 的 最 大 数额 等 ， 如 果 落 入 坏人 之 手 将 造成 很 大 损失 。 一 家 石油 勘探 公司 估计 ， 针 对 开采 权益 该 公 
司 愿意 支付 给 某 政府 的 数额 这 种 数据 丢失 的 话 ， 会 造成 高 达 数 十 亿美 元 的 影响 ， 因 此 这 是 最 重要 的 企业 风险 之 一 。 高 级 管理 人 员 
在 董事 会 会 议 室 中 谈论 “价值 数 以 十 亿美 元 的 电子 邮件 ”并 非 夸张 。 

敏感 的 管理 层 会 议 内 容 泄露 

每 个 管理 团队 都 得 保持 会 议 讨 论 内 容 的 保密 性 。 如 果 竞 争 对 手 获知 了 管理 团队 对 未 来 产品 计划 想法 的 相关 信息 ， 自 然 将 是 极 
为 有 害 的 。 另 外 ， 在 制定 和 执行 策略 的 过 程 中 ， 管 理 者 经 常会 分 享 对 他 们 的 客户 、 自 己 的 产品 、 监 管 者 、 员 工 等 的 坦率 直 白 的 看 
法 ， 而 如 果 这 些 看 法 被 公开 的 话 ， 有 可 能 伤害 到 与 一 些 方面 人 士 的 关系 。 举 例 来 说， 布雷 德 利 (如 今 名 为 切尔西 ) 曼 宁 下 载 到 U 
盘 并 通过 维基 解密 网 站 泄露 的 政府 文件 中 包含 有 美国 对 一 些 国外 领导 人 的 坦率 看 法 ， 美 国 国务 院 认为 这 损害 了 与 盟友 的 关系 。1“ 


业务 遭 破坏 
2012 年 年 底 到 2013 年 年 初 ，“ 网 络 战士 ” (Cyber Fighters) 发 布 了 一 系列 分 布 式 拒绝 服务 (DDoS) 攻击 ， 旨 在 打击 美 
国 银行 的 网 上 银行 业务 ， 使 其 无 法 给 客户 提供 服务 。 最 后 ， 即 使 破坏 相对 有 限 ， 但 在 2013 年 年 初 ， 这 些 攻击 成 功 地 让 下 载 网 上 
银行 应 用 程序 的 时 间 翻 了 倍 。13 
DDoS 攻击 带 来 了 烦恼 和 不 便 ， 但 是 ClISO 们 更 倾向 于 担心 毁灭 性 攻击 ， 造 成 的 危害 不 仅 局 限于 延误 和 中 断 ， 而 且 危害 到 人 金 
融 交 易 、 干 扰 电 子 医疗 设备 或 关 停 生产 制造 业务 等 。 沙 特 阿 拉 伯 国 家 石油 公司 (Saudi Aramco) 曾 受到 攻击 ,硬盘 上 的 诸多 数 
据 被 删除 ， 这 致使 在 两 周 多 时 间 里 显著 影响 了 该 公司 的 业务 操作 。14 


沙特 阿拉 伯 国 家 石油 公司 称 : “本 次 攻击 的 主要 目标 是 阻止 本 地 及 国际 市 场 的 原油 和 天 然 气流 动 。” 1 > 
法 律 和 监管 风险 


在 很 多 领域 ， 丢 失 敏 感 客户 数据 都 会 带 来 严重 的 法 律 后 果 。 举 例 来 说， 在 美国 医疗 行业 ，《 健 康 保险 携带 和 责任 法 案 》 
(Health Insurance Portability and Accountability Act，HIPAA) 规定 每 条 记录 罚款 100 美 元 到 5 万 美元 ， 单 次 事件 罚金 可 高 
达 150 万 美元 。 集 体 诉讼 还 可 产生 更 为 毁灭 性 的 后 果 。 加 利 福 尼 亚 州 首席 检察 官办 公 室 估计 ， 每 条 丢失 的 医疗 数据 价值 2000 美 
元 。 加 州 北 部 非 营利 的 Sutter Health 医 疗 集团 每 年 营业 收入 为 100 亿 美元 ， 该 集团 的 一 台 台 式 机 遭 偷盗 ， 而 且 是 通过 非 技术 手段 
偷 的 一 一 用 石头 砸 窗户 。 该 集团 推出 了 一 个 加 密 程序 ， 但 还 没 用 到 台式 机 设备 上 ， 结果 ，100 万 患者 的 临床 数据 、300 多 万 患者 
的 基本 数据 被 偷盗 。 接 中 而 至 的 诉讼 费用 达 42.5 亿 美元 。 值 得 庆幸 的 是 ， 原 告 无 法 证 明 不 法 分 子 利 用 了 这 些 数据 ， 案 子 也 在 3 年 
后 被 驳回 了 ， 尽 管 如 此 ， 该 案件 仍 吸引 了 管理 层 的 众多 关注 。 '6 


这 些 风险 源 于 一 系列 攻击 者 ， 过 去 几 年 里 ， 攻 击 者 的 能 力 有 了 显著 提升 。 


Ee 0 获 益 ， 它 们 不 仅 从 事 在 线 欺诈 ， 也 盗 取 消费 者 的 个 人 信息 ， 它 们 可 将 这 些 信 息 整 合 到 自己 的 数据 仓库 中 ， 
而 用 于 号 份 盗窃 。 


:关于 网 络 战 争 ， 人 们 有 很 多 辩论 和 讨论 ， 但 有 国家 资助 的 参与 者 大 多 关注 的 是 间 恋 活动 ， 要 么 告发 国家 策略 ， 要 么 获取 有 价值 的 ITP， 将 其 传 
给 受到 优待 的 本 国企 业 。 


组 


受 
0 oy 和 \ 卢 效 安全 ” (Lulzsec) 这 样 的 激进 黑客 组 织 致力 于 破坏 和 羞辱 它们 所 反对 的 政府 机 构 和 企业 ， 它 们 可 能 反对 后 
和 政策 和 做 法 。 


此 外 ， 内 部 人 士 也 成 为 日 益 重 要 的 威胁 。 技 术 管 理 人 员 强 调 称 ， 获 得 敏感 数据 的 最 简单 方法 就 是 ， 佩 戴 标记 的 雇员 上 午 走 进 
大 楼 ， 利 用 有 效 的 身份 证 件 登 录 安 全 系统 。 由 于 贪 禁 或 者 对 被 忽略 而 没有 晋升 机 会 的 愤恨 ， 承 包 商 或 雇员 会 受到 鼓舞 去 从 事 这 些 
活动 。 他 们 可 能 受到 局 外 人 的 损害 一 一 个 犯罪 组 织 利用 对 开发 商家 庭 的 威胁 ， 来 逼迫 开发 商 插入 代码 授权 向 一 个 应 用 程序 进 
行 非法 支付 。 雇 员 也 可 能 说 服 自 己 没有 犯罪 ， 比 如 ， 在 离职 将 去 给 原 公 司 的 竞争 对 手 效力 前 他 们 下 载 原 公司 的 客户 清单 。 或 许 最 
为 重要 的 是 ， 雇 员 及 承包 商 知道 来 龙 去 脉 一 一 他 们 知道 在 哪 能 找到 最 为 敏感 的 信息 ， 他 们 通常 也 有 一 定 的 商业 洞察 力 ， 可 以 将 
言 息 有 效 地 加 以 利用 。 


战略 风险 


面 对 如 此 多 的 潜在 毁灭 性 的 后 果 ， 各 地 区 各 行 各 业 的 技术 高 管 高 度 重 视 网 络 攻击 带 来 的 风险 。 约 有 2/3 的 技术 高 管 称 ， 这 些 
风险 在 未 来 几 年 会 产生 具有 重要 战略 意义 的 大 问题 。 通 常 ， 他 们 用 此 前 列 出 的 风险 来 解释 自己 的 观点 : IP 丢 失 、 客 户 数据 被 盗 及 
业务 遭 破坏 。 较 少 的 受 访 者 ( 约 有 一 成 ) ， 表 示 网 络 攻击 的 风险 是 存在 的 ， 并 认为 “在 未 来 5 年 内 的 某 时 会 让 他 们 的 灯光 熄 


灯光 熄 炎 意味 着 ， 要 么 遭遇 极 具 破坏 性 攻击 ， 要 么 更 有 可 能 的 是 ， 客 户 信任 不 可 挽回 地 垮台 。 一 家 社交 媒体 公司 的 CISO 表 
示 : “如 果 我 们 得 不 到 客户 信任 ， 那 么 产品 本 身 也 就 荡然 无 存 。” 一 家 大 型 金融 机 构 的 CISO 称 ， 他 担心 网 络 攻击 会 彻底 破坏 交 
易 数 据 ， 因 此 完全 不 可 能 对 此 问题 放松 。 

我 们 所 采访 的 1/4 的 人 认为 网 络 攻击 是 开展 业务 的 常见 风险 ， 这 些 高 管 与 企业 所 面临 的 其 他 风险 的 大 环境 联系 在 一 起 ， 比 如 
银行 业 面 临 的 流动 性 危机 ， 或 者 制造 企业 面临 的 自然 灾害 。 

有 趣 的 是 ， 无 一 受 访 者 同意 这 个 说 法 : “网 络 攻击 的 风险 被 夺 大 了 ， 它 完全 处 于 我 们 的 掌控 下 。 ”事实 上 ， 比 起 其 他 类 型 的 
技术 风险 ， 网 络 攻击 是 更 令 人 担忧 的 。 受 访 者 中 有 3/4 的 人 说 ， 外 部 网 络 攻击 是 两 大 技术 风险 之 一 ， 近 六 成 受 访 者 认为 内 部 人 士 
威胁 亦 是 如 此 ， 不 到 1/3 的 受 访 者 列 出 他 们 认为 最 为 严重 的 其 他 技术 风险 ， 其 中 包括 灾难 、 设 计 拙劣 的 程序 代码 (这 导致 骑士 资 
本 集团 (Knight Capital) 损失 4.4{Z 美 元 ') 及 技术 操作 质量 低 ， 比 如 服务 器 配置 错误 导致 重要 程序 朋 溃 ( 见 图 1-6) 。 


哪些 类 型 的 技术 风险 最 有 可 能 对 你 所 在 的 企业 产生 战略 性 及 负面 影响 ? 
(将 某 项 技术 风险 列 为 两 大 技术 风险 之 一 的 受 访 者 比例 ) (% ) ”+ 频繁 提 及 的 风险 


受 访 者 所 在 行业 


公司 以 外 之 人 
策动 的 恶意 攻击 76 69 75 70 75 


公司 内 部 人 士 
策动 的 恶意 攻击 59 54 75 50 50 


灾难 ( 如 火灾 、 22 19 18 10 25 
洪水 、 地 震 ) 


设计 拙劣 的 
程序 代码 28 28 18 40 33 


技术 操作 质量 低 33 32 17 50 42 


图 1-6” 比 起 其 他 技术 风险 ， 网 络 攻击 的 风险 更 大 


虽然 各 行业 间 对 某 一 风险 的 担心 程度 略 有 差别 ， 但 是 每 个 领域 所 担心 的 风险 类 型 差距 较 大 ( 见 图 1-7) 。 概 括 来 说 ， 服 务 行 
业 优 先 考虑 客户 数据 被 盗 及 业务 操作 受 干扰 的 问题 ， 而 产品 公司 优先 考虑 商业 间谍 活动 。 举 例 来 说 ， 几 乎 任何 金融 机 构 都 提 及 商 
业 间 谍 是 它们 的 主要 关注 点 。 投 资 银行 业 的 CISO 告 诉 我 们 ， 昌 然 IP 对 他 们 的 业务 来 说 非常 重要 ， 但 是 其 结构 和 形式 限制 了 特定 
的 破坏 的 影响 : 交易 算法 极 富 价值 ， 但 IP 分 配 在 很 多 产品 部 门 的 诸多 算法 上 (比如 货币 、 利 率 互 换 ) ， 这 样 ， 任 何 一 种 算法 的 损 
失 只 会 有 一 定 的 财务 影响 。 此 外 ， 很 多 算法 会 迅速 改变 ， 因 此 被 窃取 的 IP 的 价值 在 短 短 几 个 月 后 就 会 大 大 缩水 。 一 些 零售 银行 业 
CISO 认 为 公司 IP 价 值 更 低 ， 其 中 一 人 说 : “产品 检验 不 会 有 太 大 不 同 ， 也 不 会 很 快 改变 。” 


恶意 攻击 产生 的 商业 影响 中 你 最 担心 的 是 什么 ? 
(将 某 个 影响 列 为 首要 或 次 要 担忧 之 事 的 受 访 者 比例 )(%) 
受 访 者 所 在 行业 


合计 银行 业 ”| 医疗 保健 | 高 科技 | 保险 


客户 或 患者 的 
个 人 身份 信息 79 84 92 75 90 


对 业务 操作 
的 破坏 52 44 45 38 64 


商业 间谍 ( 如 IP 或 39 7 36 67 国 25 
敏感 业务 计划 外 汇 ) 


欺诈 33 62 S50 0 30 


为 政治 军事 方面 原因 
而 妨碍 、 滥 用 商业 活动 ”< 一 0 


出 于 政治 目的 公开 


泄露 负面 信息 25 24 27 40 25 
Hu 


勒 案 ， 包 括 为 经 济 利益 21 14 11 57 国 17 
而 泄露 敏感 信息 


图 1-7 所 有 公司 都 担心 客户 数据 被 盗 ， 但 各 行业 担忧 的 次 要 问题 有 所 差别 


而 银行 担心 欺诈 及 任何 会 伤 及 企业 或 客户 数据 的 破坏 一 一 它们 认为 这 是 企业 机 构 价值 主张 的 核心 。 另 外 ， 很 多 受 访 者 也 高 


度 担忧 政治 因素 驱动 的 对 金融 交易 完整 性 的 攻击 。 


相 比 之 下 ， 高 科技 公司 明确 注重 的 是 IP 丢 失 问 题 ， 尤 其 是 业务 流程 相关 的 IP。 这 样 的 IP 丢 失 ， 导 致 产品 投入 市 场 的 时 人 息 ， 外 
界 对 产品 细节 就 已 有 了 广泛 了 解 ， 竞 争 对 手 会 使 用 分 解 手段 去 摸 清 ， 不 过 ， 在 几 年 时 间 里 ， 详 尽 的 制造 规格 (比如 ， 烧 制 某 个 组 
件 的 时 候 温度 是 多 少 ) 还 是 保密 的 。 


防御 者 洗 后 于 攻击 者 


众多 技术 高 管 普遍 认为 ， 不 论 是 什么 类 型 的 攻击 者 ， 他 们 的 攻击 手段 始终 领先 于 被 攻击 机 构 采 用 的 防御 手段 ， 并 且 领 先 性 在 
未 来 有 扩大 趋势 ( 见 图 1-8) 。 超 过 3/4 的 技术 高 管 表示 ， 攻 击 者 的 先进 性 或 进步 速度 将 比 企业 机 构 自 身 的 防御 能 力 发 展 要 快 ， 
近 1/5 的 技术 高 管 认为 ， 攻 击 者 的 优势 将 会 提高 得 更 快 。 受 访 者 之 间 存 在 明确 的 共识 : 防御 者 认为 他 们 正 节 节 败退 。 


未 来 5 年 里 ， 相 比 攻击 者 ， 你 们 自身 防御 的 先进 性 如 何 发 展 ? 
( 受 访 者 比例 ) (% 
受 访 者 所 在 行业 
合计 银行 业 “| 医疗 保健 | 高 科技 | 保险 


我 们 自身 先进 程度 
的 发 展 速度 将 快 于 15 0 0 0 2 
攻击 者 


我 们 将 与 攻击 
者 保持 均 热 18 29 8 10 11 


攻击 者 的 先进 性 
或 速度 会 稍微 比 60 58 69 70 56 
我 们 快 
攻击 者 的 先进 性 
或 速度 会 比 我 们 17 13 23 20 11 
快 得 多 
风险 等 级 增加 


图 1-8 ”众多 技术 高 管 认为 攻击 者 将 提高 领先 地 位 


保险 公司 对 自己 的 防御 能 力 最 为 自信 。 超 过 1/5 的 保险 业 受 访 者 认为 他 们 会 比 攻击 者 发 展 得 快 (虽说 如 此 ， 但 仍 是 少数 ) 。 
除了 保险 行业 ， 其 他 行业 的 受 访 者 都 对 自己 的 公司 没 信心 。 部 分 原因 可 能 是 网 络 安全 在 保险 业 相对 来 讲 仍 是 新 兴 的 ， 因 为 当 一 个 
人 远 远 落 后 的 时 候 ， 最 初 一 些 进步 会 被 视 为 显著 进展 。 


就 落后 于 攻击 者 ， 受 访 者 给 出 了 诸多 解释 。 
技术 的 发 展 变化 有 利于 攻击 者 


过 去 ， 几 乎 所 有 访问 企业 系统 的 人 都 用 公司 的 、 摆 在 单位 办 公 室 里 的 电脑 访问 ， 这 时 ， 信 息 安全 专家 则 注重 维护 边界 ， 避 免 
攻击 者 攻击 企业 网 络 。 如 今 的 世界 已 经 发 生 天 翻 地 覆 的 变化 。 有 很 多 途径 可 以 进 网 ， 这 大 大 增加 了 企业 机 构 的 暴露 面 。 客 户 可 以 
通过 互联 网 访问 复杂 的 应 用 程序 。 商 业 合作 伙伴 能 直接 连 入 企业 网 络 ， 促 使 伙伴 间 协 作 更 加 紧密 ， 但 增加 了 企业 的 外 部 接口 

(external interfaces) 。 用 户 希 望 不 论 自 己 到 了 世界 哪个 角落 仍 能 访问 企业 所 有 信息 系统 。 无 懈 可 击 的 “边界 ”概念 如 护城河 
一 般 老 派 守旧 。 此 外 ， 公 司 里 仍 散落 存放 着 过 时 的 IT 系统 ， 这 些 系统 采用 过 时 、 存 在 脆弱 点 的 技术 ， 但 公司 却 迟 迟 未 淘汰 它们 ， 
这 样 攻击 者 就 有 较 多 的 机 会 乘虚 而 入 。 


攻击 者 的 法 律 优势 


在 现实 世界 中 ， 如 果 一 个 罪犯 不 停 地 从 事 违 法 犯罪 的 行为 ， 极 有 可 能 发 生 的 是 只 要 操作 稍 有 和 失误， 在 错误 的 时 间 选 择 了 错误 
的 地 点 ， 那 么 他 就 会 被 抓 住 。 而 对 于 网 络 罪犯 来 说 ， 若 他 在 一 个 不 注重 惩治 网 络 犯罪 的 国家 从 事 活动 ， 那 么 情况 就 完全 不 一 样 
了 。 和 现实 世界 的 罪犯 不 同 的 是 ， 网 络 罪犯 每 从 事 一 次 犯罪 活动 ， 他 的 能 力 就 被 提高 一 次 ， 他 更 加 了 解 了 被 攻击 企业 ， 而 不 是 增 
加 了 他 被 抓 的 风险 。 “网络 攻 击 者 只 需 一 次 做 得 正确 便 可 产生 巨大 破坏 ， 而 发 生 一 次 又 一 次 的 错误 时 ， 他 也 能 逃脱 ，” 一 位 
CISO 这 样 说 道 ，“ 而 我 们 则 必须 每 次 保持 正确 。” 


国家 资助 的 攻击 者 所 享有 的 资源 


有 几 位 ClSO 告 诉 我 们 ， 昌 然 他 们 能 够 保护 自己 免 受罪 犯 及 激进 黑客 的 攻击 ， 但 是 让 他 们 感到 无 能 为 力 的 是 ， 那 些 有 国家 资 
助 的 网 络 间谍 人 员 。 一 些 国家 为 了 调查 一 家 公司 的 技术 环境 和 安全 漏洞 ， 不 仅 在 技术 上 很 先进 ， 而 且 他 们 有 能 力 支 持 数 十 乃至 几 
百人 。 


国家 级 能 力 分 布 更 加 广泛 


一 些 国家 研发 出 来 的 先进 攻击 策略 未 必 唯 独 掌握 在 它们 自己 手中 。 网 络 战争 部 队 负责 人 可 能 会 将 攻击 策略 传达 给 在 政治 上 对 
他 们 有 帮助 的 团体 。 同 时 ， 更 多 的 底层 攻击 者 人 员 可 能 会 利用 已 有 能 力 做 兼职 以 赚 得 更 多 报酬 。 来 自 新 美国 安全 中 心 (Center 
for a New American Security) 的 克 里 斯 汀 罗 德 (Kristin Lord) 说 : “我 们 已 经 看 到 一 些 国家 利用 犯罪 组 织 进行 攻击 活动 ， 
我 们 也 知道 一 些 国家 正 积极 努力 地 发 展 自己 的 网 络 能 力 。 因 此 ， 黑 市 是 个 大 问题 ， 它 们 早已 存在 于 犯罪 世界 中 ， 为 国家 和 罪犯 之 


间 搭 建 了 彼此 联系 的 场所 。” 18 


网 络 攻击 的 全 球 市 场 


互联 网 造就 了 有 收藏 价值 的 饰品 的 全 球 市 场 ， 同 时 ， 互 联网 也 逐渐 在 一 些 方面 表现 突出 ， 比 如 ， 互 联网 连接 起 这 样 的 卖家 与 
买 家 : 他 们 买卖 的 是 用 于 发 起 复杂 网 络 攻击 的 工具 ， 而 买卖 双方 不 仪 限于 克 里 斯 汀 罗 德 所 提 及 的 国家 、 罪 犯 ， 而 是 包括 诸多 参 
与 者 。 兰 德 研究 所 (The Rand Institute) 的 报告 称 ， 有 时 ， 在 一 款 很 受 欢 迎 的 软件 1? 中 发 现 了 新 的 “ 零 日 ”漏洞 的 研究 人 员 ， 


通过 将 此 消息 售卖 给 网 络 罪犯 就 能 赚 几 百 万 美元 。20 


企业 机 构 缺 乏 洞察 力 以 做 出 智慧 的 网 络 安全 决策 


网 络 安全 的 核心 是 风险 管理 。CISO 试 图 利用 一 系列 控制 (比如 加 密 、 身 份 验 证 ) ， 在 以 最 小 的 成 本 、 对 业务 最 少 破坏 的 情 
况 下 ， 最 大 限度 地 降低 重要 风险 (比如 IP 丢 失 、 客 户 数据 被 盗 ) 的 可 能 性 或 影响 。 不 幸 的 是 ， 绝 大 多 数 大 型 机 构 就 是 没有 必要 的 
风险 管理 能 力 来 制定 明智 的 网 络 安全 投资 和 网 络 安全 政策 的 决策 。 它 们 不 了 解 需要 保护 什么 资产 、 自 己 面 对 着 什么 样 的 攻击 者 、 
能 实施 的 全 套 防 御 机 制 及 这 些 机 制 的 影响 。 结 果 ， 它 们 无 法 有 效 减 少 风 险 ， 致 使 业务 和 支出 上 的 代价 都 非常 高 。 


为 了 更 好 地 了 解 企业 机 构 在 网 络 安全 方面 的 能 力 ， 我 们 询问 了 60 多 家 全 球 500 强 企业 来 完成 我 们 的 网 络 风险 成 熟 度 调查 
(Cyber-Risk Maturity Survey，CRMS) 。 该 调查 涉及 组 织 机 构 在 8 个 领域 的 风险 管理 实践 ， 尤 其 是 它们 对 以 下 几 点 如 何 认 


识 : 


面临 的 攻击 者 
保护 的 资产 
其 网 络 环境 中 的 漏洞 
其 剩余 风险 及 风险 偏好 
其 能 实施 的 潜在 控制 的 范围 
评估 其 可 能 实施 的 控制 的 成 本 及 影响 上 的 有 效 程度 
其 做 出 的 决定 是 否 能 完全 实施 


.网络 安全 管理 和 组 织 的 能 


NE 


这 份 CRMS 是 和 来 自主 要 机 构 的 CISO 一 起 完成 的 ， 最 大 限度 地 减少 了 主观 性 。 我 们 没有 让 公司 就 在 特定 领域 的 进展 进行 评 
价 ， 也 没有 测量 某 项 技术 、 架 构 或 控制 ， 而 是 询问 公司 是 否 执行 28 项 具体 活动 及 其 执行 的 频率 ， 然 后 ， 用 一 定 的 数值 范围 来 分 
评级 ， 以 形成 对 比 〈 见 图 1-9) 。 


网 络 风险 管理 成 熟 度 分 为 四 个 级 别 : 


(1) 初期 阶段 : 处 在 这 个 阶段 的 公司 也 做 着 努力 ， 但 基本 是 在 最 低 限 度 学 围 内 ， 缺 乏 严格 的 协议 或 集中 的 安全 系统 。 它 们 
没有 确定 单 点 责任 制 ， 也 没有 明确 的 向 高 级 管理 层 反 馈 意见 的 路 径 。 


(2) 发 展 阶段 : 有 关 评估 和 减缓 网 络 风险 ， 公 司 拥有 定性 结构 。 整 个 公司 有 一 致 的 治理 模式 ， 每 个 业务 部 门 都 实施 单 点 责 
任 制 ， 明 确 了 向 高 级 管理 层 汇 报 工作 的 途径 。 


(3) 成 熟 阶段 : 对 于 评估 风险 有 定量 方法 ， 对 于 减缓 网 络 风险 有 定性 方法 。 有 定义 明确 的 网 络 安全 治理 模式 ， 承 担 风 险 和 
决策 力 的 业务 部 门 内 有 单 点 责任 制 。 


示例 : C5 实践 ， 从 模拟 中 识别 漏洞 


C5a 你 们 如 何 进 行 网 络 安 全 事件 的 真实 感 模拟 ? ( 不定 项 选择 ) 

口 我 们 会 基于 公司 可 能 面临 的 潜在 场景 来 进行 真实 感 模拟 

口 我 们 的 业务 部 门 领导 和 管理 团队 都 会 参与 模拟 

口 我 们 的 模拟 活动 注重 风险 列表 中 明确 的 最 重要 的 资产 

口 我 们 的 模拟 活动 注重 我 们 的 最 大 攻击 威胁 所 青睐 的 潜在 攻击 

口 模拟 活动 后 ,我们 听取 报告 并 总 结 整理 反馈 意见 及 识别 出 的 潜在 漏洞 
口 我 们 在 公司 现 有 系统 的 复 本 上 进行 模拟 


C5a 你 们 进行 网 络 安 全 事件 的 真实 感 模拟 的 频率 如 何 ? 
了 了 心 每 三 一 至 少 每 心 短 日 _ 
从 不 低 于 每 年 一 次 ” 至 少 每 年 一 次 季度 一 次 至 少 每 月 一 次 


级 别 旭 (初期) 级 别 如 (发 展 中 ) ”级 别 晶 (成熟 ) 级 别 @( 稳 健 ) 
“ 有 关 洪 在 攻击 ， .我们 有 时 进行 模 “我 们 进行 跨 职能 ““。 同 3 (成 熟 ) , 模 
我 们 进行 非 正 式 拟 , 利用 已 定义 的 。 部门 真实 感 模拟 ， ” 拟 活 动 至 少 每 月 一 
的 模拟 过 程 ， 针 对 优先 “利用 已 定义 的 过 程 ， “次 ， 高 级 管理 层 
的 有 风险 的 业务 “解决 业务 中 可 能 遇 ”参与 其 中 
流程 及 信息 类 型 ” ”到 的 攻击 ， 至 少 每 
* 我们 尝试 至 少 每 。 季度 进行 一 次 
年 模拟 一 次 。 模拟 活动 后 ,我们 
听取 报告 、 总 结 整 
理 反 馈 并 记录 结果 


图 1-9 网络 风 险 成 熟 度 调查 : 利用 基于 事实 的 问题 判断 成 熟 度 等 级 


(4) 稳健 阶段 : 此 阶段 的 公司 实施 了 稳健 的 定量 方法 以 评估 和 减缓 网 络 风险 ， 明 确 指出 个 人 对 每 项 资产 的 网 络 安全 负 有 责 
任 。 


要 达到 成 熟 ， 企 业 还 有 很 长 的 路 要 走 


调查 结果 发 人 深 省 。 超 过 九 成 的 企业 机 构 尚 处 于 初期 或 发 展 阶段 ， 总 体 来 说 ， 没 有 一 家 公司 可 以 说 处 在 稳健 阶段 ( 见 图 1- 
10) 。 


整体 成 熟 度 得 分 分 布 
(参与 调查 的 企业 机 构 百 分 比 ) (% ) 
35 


26 


31 


<2 2.0~2.3 2.53~3.0 3.0~4.0 >4 


| | 
初期 发 展 成 熟 


图 1-10 网络 安 全 风险 管理 成 熟 度 低 下 


只 有 一 家 受 访 企业 处 于 成 熟 或 在 每 个 实践 领域 都 做 得 更 好 ， 超 过 2/3 的 企业 ， 至 少 在 一 半 的 领域 中 尚 处 在 “初期 ”或 “发 
展 ”阶段 。 看 一 看 总 计 的 分 数 ， 只 有 “了 解 系统 和 人 员 ” 这 一 个 领域 的 总 计 得 分 超过 3， 意 味 着 ， 有 过 半 的 企业 在 这 点 上 是 “ 稳 
健 ” 的 ， 大 多 实践 还 是 倾向 低级 别 的 “发 展 ” 阶 段 ， 而 在 “了 解 自身 漏洞 ”中 的 “实施 真实 感 模拟 ”这 点 上 得 分 尤其 低 ( 见 图 1- 
11) 。 


所 有 公司 在 子 实 践 中 的 绝对 评分 
实践 项 目 描述 
“ 深入 了 解 攻击 者 3 
了 解 攻击 者 * 分 析 外 部 威胁 2.1 
* 分析 内 部 威胁 1.9 
" 确认 流程 和 信息 2.3 
“优先 考虑 流程 和 信息 2.2 
“ 识别 技术 漏洞 2.6 
* 识别 组 织 漏洞 1.9 
了 解 自身 漏洞 “ 从 历史 攻击 中 识别 漏洞 2.4 
" 进行 渗透 测试 2.1 
" 实施 真实 感 模 拟 1.5 
* 找 出 风险 2.1 
: 评估 和 其 化 风险 2.2 
* 优先 考虑 与 行动 风险 2.1 
潜在 防御 系统 ,识别 潜在 防御 系统 2.2 
“评估 新 防御 系统 的 有 效 性 2.4 
有 价值 的 潜在 “评估 新 防御 系统 的 用 户 影响 2.1 
防御 系统 “评估 新 防御 系统 的 成 本 2.8 
* 优先 考虑 并 选择 潜在 防御 系统 2.4 
。 了 解 系统 和 人 员 3.2 
| “维护 防御 系统 2.4 
“监控 系统 、 检 测 人 侵 者 24 


* 确保 组 织 设计 有 效 2.1 

* 高 级 管理 层 参 与 其 中 2.1 
组 织 与 治理  “ 管理 风险 文化 1.9 

" 管理 人 才 2.3 

“ 衡量 与 鼓励 17 

" 确保 合 规 27 


、 


需要 保护 什么 


剩余 风险 和 
风险 偏好 


图 1-11 所 有 企业 中 只 有 一 项 实践 中 达到 “成 熟 ” 度 


实践 中 相对 低 的 成 熟 度 意味 着 什么 呢 ? 


:只 有 176 的 企业 机 构 里 ，CTSO 有 权 叫 停 明 显 违背 网 络 安全 政策 的 IT 项 目 或 是 不 止 每 年 一 次 进行 网 络 安全 模拟 。 
:只 有 1/5 的 企业 确保 董事 会 审查 并 批准 了 网 络 安 全 策略 的 细节 ， 或 者 ， 在 每 年 的 绩效 评估 中 夺 插 网 络 安 全 团队 对 更 广泛 的 IT 花 费 的 影响 。 
“1/3 的 企业 中 ，CISO 能 与 CEO 定 期 会 面 ，1/3 的 企业 给 董事 会 提供 需要 保护 的 最 重要 的 信息 资产 的 列表 。 


:只 有 约 一 半 的 企业 甚至 为 保护 敏感 信息 数据 明确 最 低 标准 ， 或 每 年 超过 一 次 更 新 攻击 者 的 相关 情报 。 


成 熟 度 最 低 的 领域 ， 不 只 局 限于 网 络 安全 领域 之 内 的 特定 实践 活动 。 由 CISO 直 接 控制 的 领域 做 得 更 好 ， 但 一 旦 CISO 需 要 别 
人 援助 时 ， 哪 怕 是 需要 更 广泛 的 IT 团队 里 的 其 他 人 帮忙 ， 成 熟 度 就 会 下 降 ， 更 别 说 业务 部 门 了 。 举 例 来 说 ， 得 分 最 高 的 一 些 实践 
是 “识别 技术 漏洞 、 评 估 新 防御 系统 的 成 本 ”。 这 些 ，CISO 不 需 其 他 部 门 的 大 量 配 合 。 相 比 之 下 ， 了 解 资产 需要 与 业务 部 门 主 
管 大 量 合作 ， 这 时 ， 成 熟 度 就 大 幅 降低 了 ( 见 图 1-12) 。 


了 解 系统 和 人 员 


~_、e 


评估 新 防御 系统 的 成 本 确保 合 规 


| 


优先 考虑 并 选择 


监控 系统 、 ”识别 技术 漏洞 ， 从 历史 攻击 潜在 防御 系统 
和 给 济公 者 , 中 识别 漏洞 优先 考虑 ”确认 流程 和 信息 
; 监控 实施 情况 系 言 息  \ 评估 和 
二 A i 流程 和 信息 \_ 是 [全 役 
$e 
一 深入 丁 解 攻 市 者 于 N20s 本 
度 识别 潜在 。 分 析 外 部 威胁 进行 渗透 测试 “一” 行动 风险 
评估 新 防御 一 | 分 析 内 部 威胁 一 . 
防御 系统 ~ Lo 
系统 的 用 户 影响 | es 
管理 风险 文化 一 确保 组 织 设计 识别 组 
有 效 及 决策 权 。 织 漏洞 
衡量 与 鼓励 _。 高 级 管理 层 
进行 真实 感 模拟 “参与 其 中 
低 
低 高 
需要 合作 的 深入 程度 


图 1-12 成熟 度 高 的 实践 活动 需要 与 网 络 安全 部 门 之 外 的 协作 较 少 
行业 、 规 模 及 花费 对 网 络 风险 管理 成 熟 度 没 有 影响 


在 CRM 调查 中 ， 银 行业 要 比 其 他 行业 得 分 高 ， 但 也 只 高 出 一 点 ， 并 且 ， 行 业内 部 之 间 的 差异 要 远大 于 行业 间 差 异 。 相 对 来 
说 ， 银 行业 在 了 解 攻击 者 (鉴于 该 领域 在 情报 能 力 上 的 投资 ) 、 了 解 漏洞 及 治理 这 些 方面 得 分 较 高 。 相 比 之 下 ， 在 了 解 潜在 防御 
系统 及 其 影响 上 ， 它 们 比 平 均 得 分 稍 高 。 整 体 来 讲 ， 保 险 公 司 相 比 得 分 较 低 ， 在 了 解 需要 保护 的 资产 及 现 有 环境 中 存在 的 漏洞 方 


面 尤其 如 此 。 然 而 ， 更 为 成 熟 的 保险 公司 得 分 远 远 超过 得 分 较 低 的 银行 。 


大 型 公司 未 必 比 小 些 的 公司 更 为 成 熟 ， 实 际 上 ， 一 些 年 收入 不 到 百 亿美 元 的 公司 是 成 熟 度 最 高 的 一 些 公司 ，i 
较 小 较为 简单 的 机 构 中 透明 度 和 协作 更 易 实 现 。 


在 网 络 安 全 上 花费 更 多 ， 并 没有 成 就 更 高 的 网 络 风险 管理 成 熟 度 ， 这 或 许 是 最 令 人 惊讶 的 。 虽 然 ， 网 络 安全 花费 在 整个 IT 支 
出 中 所 占 比 例 并 不 是 绝对 的 指标 ， 但 也 能 从 中 感知 用 于 网 络 安全 的 资源 量 ， 这 与 需要 保护 的 规模 有 关联 。 以 一 家 公司 的 风险 管理 
成 熟 度 与 安全 支出 占 整体 上 T 支 出 的 比例 为 对 照 的 结果 五 伦 八 门 ， 公 司 在 全 部 四 个 象限 内 皆 有 分 布 ( 见 图 1-13) 。 


风险 管理 成 熟 度 


中 值 =3% 
以 小 博大 保护 得 很 好 还 
。 | a 是 高 度 担 忧 
30 : sr 
2.5 - 人 时 
本 s 4 中 值 =2.2 
© § | 人 
20 二 st 
: 1 =» 
151 . 
无 保护 在 这 个 问题 上 大 量 投 入 资源 


npg , sg gee 
0 0.5 1.0 1.5 2.0 2.5 3.0 3.5 4.0 4.5 5.0 5.5 6.0 6.5 7.0 7.5 8.0 8.5 9.0 9.5 10.0 
IT 安全 支出 占 整体 IT 支出 的 百分比 
图 1-13 支出 多 未 必 成 就 更 高 的 风险 管理 成 熟 度 


无 保护 部 分 的 公司 能 力 最 低 ， 它 们 的 安全 团队 规模 较 小 、 在 网 络 安全 技术 方面 投资 较 少 、 缺 乏 明智 分 配 有 限 支 出 的 洞察 力 。 
例如 ， 一 家 金融 机 构 的 高 级 管理 人 员 认为 ， 它 们 不 会 成 为 攻击 目标 ， 因 为 它们 不 是 在 美国 经 营 ， 这 导致 了 它们 一 贯 的 做 法 : 投资 
不 足 、 对 于 潜在 风险 防范 得 极为 狭窄、 不 完全 。 


以 小 博大 的 企业 机 构 支 出 较 少 ,但 比 其 他 企业 能 从 投资 中 收获 更 多 价值 ， 通 常 因 为 它们 清楚 地 知道 最 值得 保护 的 资产 是 哪 
些 ， 因 而 它们 的 有 限 预算 利用 得 非常 有 效 。 比 如 ， 在 一 家 制药 公司 ,疲软 的 生产 线 导致 的 预算 紧张 以 及 对 IP 被 次 的 担忧 ， 促 使 IT 
部 门 开发 一 套 机 制 去 了 解 风险 ， 注 重 将 投资 用 于 保护 公司 最 重要 的 资产 上 。 


一 般 来 说 ， 高 度 担忧 的 企业 机 构 在 风险 管理 成 熟 度 和 相关 支出 上 都 较 高 。 一 家 尖端 制造 公司 认为 ， 自 己 已 无 可 选择 ， 因 为 其 
攻击 者 老练 以 及 军 方 和 情报 方面 客户 的 期 待 ， 它 们 只 能 在 网 络 安全 上 投入 大 量 资源 ， 也 必须 做 出 明智 决定 。 高 管 们 率先 在 此 问题 
上 人 花费 很 大 精力 ， 他 们 投入 时 间 和 精力 培养 较 强 的 能 力 ， 更 加 了 解 攻 击 者 、 评 佑 自身 的 漏洞 ， 并 选择 冲击 强度 高 的 防御 机 制 。 事 
实证 明 ， 拥 有 这 样 的 企业 文化 更 容易 实现 这 些 ， 也 更 珍贵 : 一 旦 制定 了 某 项 政策 ， 就 倾向 于 支持 并 执行 。 


最 后 要 讲 的 是 在 网 络 安 全 问题 上 大 量 投资 的 企业 。 它 们 往往 拥有 规模 较 大 的 网 络 安全 团队 ， 实 施 或 至 少 购买 了 很 多 最 为 精 尖 
的 技术 。 然 而 ， 有 了 这 所 有 的 支出 ， 并 不 能 确定 它们 就 保护 了 该 保护 的 资产 ， 也 不 清楚 保护 的 方法 是 否 得 当 。 一 些 以 网 络 安全 技 
术 成 熟 而 闻名 的 企业 机 构 属于 这 最 后 一 种 。 举 例 来 说 ， 一 家 银行 优先 给 网 络 安全 投入 资金 ， 但 是 没 能 让 主要 安全 团队 、 业 务 部 门 
领导 及 业务 部 门 IT 有 效 沟通 协作 。 结 果 ， 即 便 预 算 庞大 ， 主 要 安全 团队 也 无 法 准确 把 握 应 该 优先 保护 哪些 信息 资产 、 每 个 业务 部 
门 诸多 应 用 程序 投资 组 合 的 漏洞 在 哪里 。 不 可 避免 地 ， 结 果 就 是 ， 即 便 投 资 多 ， 但 也 出 现 了 破坏 性 的 缺口 。 


各 企业 机 构 面临 着 严峻 的 网 络 安全 挑战 。 数 字 化 的 普遍 创造 了 巨大 的 价值 ， 但 同时 也 让 它们 更 依赖 于 技术 ， 这 增加 了 遭遇 破 
坏 时 的 赌注 ， 激 发 了 有 能 力 、 有 决心 的 攻击 者 。 因 此 ， 从 客户 数据 丢失 到 企业 运营 受 破坏 ， 再 到 欺诈 ， 企 业 机 构 面临 着 来 自 网 络 
攻击 的 各 种 毁 炎 性 、 代 价 高 昂 的 风险 。 同 时 ， 攻 击 者 能 快速 提高 攻击 的 速度 和 先进 程度 ， 且 快 于 企业 机 构 提 高 防御 能 力 的 速度 。 


由 于 缺乏 事实 和 过 程 来 做 出 关于 网 络 安全 投资 及 策略 的 明智 决定 ， 大 型 企业 机 构 进一步 受到 束缚 ， 意 思 是 说 ， 它 们 没有 用 最 


低 的 成 本 、 在 对 业务 破坏 最 少 的 前 提 下 来 最 大 限度 地 保护 自己 。 


结果 ， 正 如 如 今 的 实际 情况 ， 网 络 安全 正 破坏 着 大 型 企业 机 构 从 技术 创新 和 技术 投资 中 获取 价值 的 能 力 。 在 防止 自己 不 受 真 
正 的 、 重 要 的 威胁 伤害 的 过 程 中 ， 企 业 机 构 的 网 络 安全 控制 降低 着 终端 用 户 效率 、 从 能 创造 价值 的 IT 中 转移 出 稀缺 的 资源 、 放 慢 
了 引进 重要 技术 能 力 的 速度 。 


第 2 草 ”情况 会 好 转 ， 也 可 能 变 糟 糙 : 3 万 亿美 元 经 济 损失 


6 年 前 ， 没 有 人 用 平板 电脑 收发 电子 邮件 ， 也 没 人 谈论 “大 数据 ”， 企 业 没有 私有 云 项 目 ， 大 多 数 人 认为 像 RSA 这 样 的 安全 
技术 公司 不 会 受到 网 络 攻击 ， 几 乎 没有 人 听 说 过 “匿名 者 ”或 “ 卢 效 安全 ”这 样 的 黑客 组 织 ， 也 不 认为 网 络 战士 会 发 起 圣战 ， 爱 
德 华 - 斯 诺 登 (Edward Snowden) 还 是 美国 中 央 情 报 局 (CIA) 一 名 匿名 的 承包 商 雇员 ， 且 从 事 着 计算 机 安全 相关 的 工作 ， 全 
国 性 报刊 也 不 会 在 头 版 头条 报道 各 国政 府 相互 之 间 就 网 络 间谍 的 控诉 与 反 控 诉 。 


如 今 ， 各 企业 的 网 络 安全 环境 是 极为 动态 的 ， 业 务 流程 的 数字 化 在 继续 加 快 这 种 步伐 ， 市 场 上 涌现 出 各 种 让 人 有 眼花 结 乱 的 技 
术 ， 新 的 安全 产品 出 现 受 到 人 们 的 追捧 ， 但 有 时 却 没有 其 承诺 的 那样 有 效 。 同 时 ， 攻 击 者 数量 也 在 激增 ， 他 们 试验 新 手段 ， 变 得 
更 为 无 拘 无 束 、 大 胆 行事 ， 数 十 个 司法 管辖 区 的 几 百 个 政府 机 构 转 变 策略 、 发 布 新 法 规 、 增 加 投资 以 提高 网 络 安全 防御 和 攻击 能 
pa 

在 这 些 纷繁 复杂 的 活动 面前 ， 各 企业 需要 做 出 将 影响 企业 未 来 发 展 的 5 年 甚至 10 年 决策 。 它 们 必须 在 研究 与 开发 (R&D) 项 
目 上 投资 ， 这 样 以 后 才 可 从 中 获 益 。 它 们 现在 实施 的 技术 、 开 发 的 应 用 程序 ， 将 在 未 来 依旧 维持 业务 流程 。 合 同 外 包 安 排 将 至 少 
寺 续 五 六 年 。 现 在 引进 的 一 线 技术 专家 将 能 解决 甚至 今天 还 没有 遇 到 的 问题 ， 而 原 有 技术 专家 还 正 应 付 当 前 面临 的 种 种 挑战。 

对 于 网 络 安全 生态 系统 中 的 其 他 参与 者 来 说 ， 形 势 也 并 不 好 到 哪儿 去 。 供 应 商 现在 需要 为 2020 年 乃至 更 久远 的 未 来 产品 投 
资 ， 政 府 要 尽 可 能 保证 将 出 台 的 法 律 法 规 适 用 于 数 年 乃至 数 十 年 。 当 与 网 络 安全 相关 的 事态 发 展 都 很 难 预测 时 ， 企 业 高 管 们 在 做 
战略 决策 的 时 候 如 何 充分 考虑 网 络 安全 呢 ? 

对 于 那些 往往 纷繁 复杂 、 又 具有 动态 变化 特点 的 环境 ， 例 如 网 络 安全 ， 场 景 分 析 (scenario analysis) 法 是 最 有 效 方法 之 
一 。 和 荷兰 皇家 壳牌 集团 在 20 世 纪 60 年 代 未 就 开发 了 现代 的 场景 规划 。 当 时 由 皮 埃 尔 . 瓦 克 (Pierre Wack) 及 彼得 . 施 瓦 茨 (Peter 
Schwartz) 领导 壳牌 公司 集团 规划 组 ， 首 先 设想 70 年 代 1 油 价 不 断 上 升 、 接 着 在 80 年 代 暴跌 的 场景 。 这 让 壳牌 公司 为 此 前 未 考 
虑 过 的 市 场 行情 做 好 准备 。。 

正如 彼得 . 施 瓦 茨 在 其 《前 瞻 的 艺术 》 (The Art of the Long View) 一 书 中 所 描述 的 那样 ， 场 景 分 析 法 能 展现 出 另外 一 个 
世界 里 的 故事 。 这 些 世 界 是 看 似 合理 的 未 来 ， 是 建立 在 一 套 基 于 优先 、 能 创造 每 个 未 来 世界 的 驱动 力 的 基础 上 的 ， 比 如 ， 可 能 会 
被 研发 出 来 的 技术 或 有 所 改变 的 消费 者 偏好 等 。 

重要 的 是 ， 这 些 场景 要 让 人 感觉 真实 ， 并 有 细节 描述 。 它 们 是 什么 样子 、 感 觉 如 何 ? 谁 是 赢家 、 谁 是 失败 者 ? 每 个 场景 可 能 
发 生 的 早期 信号 是 什么 ? 于 是 ， 商 业 和 公共 政策 领导 者 就 能 查看 所 有 可 能 存在 的 场景 ， 帮 助 他 们 采取 最 有 利于 结果 的 决策 策略 。 
举例 来 说 ， 有 没有 什么 措施 可 以 让 更 有 吸引 力 的 场景 出 现 ， 当 一 种 或 男 一 种 场景 来 临时 ， 是 否 能 够 事前 提醒 管理 者 调整 计划 ? 4 


场景 规划 及 网 络 安全 


最 先 应 用 网 络 安全 场景 进行 规划 的 不 是 我 们 。 举 例 来 说 ， 美 国 大 西洋 理事 会 (Atlantic Council) 网 络 治理 倡议 项 目的 杰 森 
希 利 (Jason Healey) 曾 设 定 一 系列 场景 ， 在 《网 络 冲 突 与 合作 的 五 种 未 来 》 (The Five Futures of Cyber Conflict and 
Cooperation) > 一 书 中 吉 括 了 现状 (Status Quo) 、 冲 突 域 (Conflict Domain) 、 割 据 状 态 (Balkanization) 、 天 党 

(Paradise) 、 网 络 末日 战 (Cybergeddon) 。 


相 比 之 前 的 工作 成 果 ， 我 们 较 少 关注 地 缘 政 治 ， 更 多 的 是 关注 不 同 的 网 络 安全 场景 如 何 影响 全 球 网 络 生态 系统 从 技术 创新 中 
获取 价值 的 能 力 。 这 就 意味 着 关注 商业 、 法 规 及 消费 者 行为 ， 还 有 关注 需要 自我 保护 的 个 别 机 构 。 在 场景 开发 中 ， 我 们 通过 人 员 
访谈 发 现 20 多 种 未 来 网 络 安全 格局 的 驱动 力 ， 从 企业 网 络 “ 暴 露面 ”到 政府 执行 网 络 犯罪 法 律 的 能 力 ， 可 谓 包 罗 万 象 。 


在 开展 场景 规划 时 ，20 个 驱动 力 太 难 于 处 理 ， 不 实用 。 因 此 ， 我 们 优先 介绍 会 产生 最 大 影响 的 8 个 驱动 ， 并 将 它们 分 为 两 
组 ， 形 成 安 驱动 : 


威胁 强度 


攻击 技术 的 易 用 性 

技术 经 验 丰 富 的 年 轻 人 的 不 满 程度 
攻击 工具 的 扩散 程度 
攻击 者 和 攻击 工具 的 先进 性 


响应 能 


“企业 自我 保护 的 经 验 
防御 技术 创新 的 速度 
“抗击 网 络 犯罪 的 国际 合作 


司 
共和 私营 部 门 间 共 享 信息 或 共享 知识 的 程度 


名 | 


TS 


“二 


每 个 宏 驱 动 构成 三 种 场景 : 得 过 是 过 的 未 来 (muddling into the future) 、 数 字 反 弹 (digital backlash) 、 数 字 化 适应 
力 (digital resilience) ( 见 图 2-1) 。 


响应 能 力 大 幅 提升 


3 数字 化 适应 力 
企业 机 构 提升 技术 创新 的 速度 ， 对 网 络 安全 的 
担忧 较 少 
威胁 强度 
逐渐 提升 
引得 过 且 过 的 未 来 习 数字 反弹 
网 络 安全 仍旧 令 人 担忧 ， 政府 大 幅 增 加 法 规 或 
但 在 商业 决策 中 不 是 优 描述 性 规定 ， 企 业 机 
先 考虑 项 构 开 始 减缓 技术 创新 
响应 能 力 逐 渐 提 升 
图 2-1 威胁 强度 和 响应 能 力 的 变化 导致 场景 不 同 
得 过 目 过 的 未 来 。 在 这 个 场景 中 ， 威 胁 强度 和 响应 能 力 的 发 展 步伐 大 致 相同 。 这 个 场景 与 我 们 所 生活 的 当今 世界 有 着 很 多 相 


似 点 。 攻 击 者 继续 入 侵 重要 的 机 构 ， 机 构 反 过 来 觉得 他 们 似乎 忙于 一 个 永 不 停止 的 “ 打 角 鼠 ”游戏 。 网 络 安全 富有 挑战 和 性、 花费 
昂贵 ， 对 大 多 机 构 来 说 都 是 头疼 的 事 ， 但 是 ， 大 多 数 情况 下 ， 网 络 攻击 对 世界 经 济 从 技术 创新 中 获取 价值 的 能 力 的 影响 是 有 限 
的 。 


数字 反弹 。 在 这 个 场景 中 ， 威 胁 的 强度 超过 企业 机 构 和 政府 防御 网 络 攻 击 的 能 力 。 这 里 的 一 系列 攻击 不 仅 让 人 感到 不 知 所 
措 ， 也 具有 高 度 破坏 性 ， 这 些 攻击 削弱 了 数字 经 济 的 信心 。 结 果 ， 监 管 者 、 企 业 机 构 甚至 消费 者 开始 叫 停 数 字 化 进程 ， 造 成 从 技 
术 创 新 中 能 够 获取 的 价值 急剧 下 降 。 


数字 化 适应 力 。 在 这 个 场景 中 ， 企 业 机 构 和 政府 齐心 建立 对 抗 网 络 攻 击 的 适应 力 。 攻 击 和 破坏 在 继续 发 生 ， 但 是 越 来 越 清 
的 是 ， 它 们 的 危害 能 得 到 遏制 。 有 针对 性 的 、 灵 活 的 防御 机 制 ， 可 降低 网 络 攻击 的 损失 。 结 果 ， 重 要 技术 的 应 用 速度 明显 增加 。 


悲观 主义 者 可 能 会 问 ， 为 什么 没有 描述 好 莱 坞 电影 中 的 那 种 社会 或 经 济 崩 溃 的 场景 。 就 像 《 龙 之 日 》 (Dragon Day) 中 ， 
网 络 攻击 摧毁 了 美国 社会 ， 每 个 微 芯片 上 ， 都 植 入 了 病毒 ， 同 步 激活 这 些 病毒 引发 了 社会 混乱 状态 。 


然而 事实 上 ， 在 线 经 济 没 有 “死亡 开关 ”， 如 果 想 策划 并 执行 一 系列 先进 、 广 泛 、 持 久 的 网 络 攻击 ， 导 致 大 规模 的 现代 多 元 
化 经 济 瘫 病 ， 需 要 强大 的 国家 提供 资源 保障 。 如 果 两 个 超级 大 国 想 要 利用 网 络 武器 摧毁 彼此 的 经 济 ， 它 们 可 以 做 到 。 不 过 ， 如 托 
马 斯 -里 德 (Thomas Rid) 在 《网 络 战争 不 会 发 生 》 (Cyber War Will Not Take Place) 一 书 中 所 指出 的 ， 过 去 ， 它 们 利用 手 
上 的 其 他 的 传统 武器 也 能 摧毁 彼此 。 


搞 网 络 破坏 需要 技术 先进 的 参与 者 、 可 用 的 资源 、 足 够 的 动机 ， 其 中 后 者 尤为 重要 。 在 我 们 撰写 本 书 时 ， 没 有 哪个 国家 或 其 
他 参与 者 具有 全 部 这 三 个 因素 。 举 例 来 说 ， 全 球 经 济 的 互联 性 意味 着 ， 一 个 国家 瓦解 了 ， 其 他 国家 的 银行 交易 业务 也 可 能 遭受 影 
响 。 在 电影 剧本 之 外 ， 搞 网 络 破坏 的 动机 是 不 存在 的 。 


面临 什么 危险 


在 识别 和 描述 场景 之 后 ， 我 们 将 场景 对 世界 经 济 从 技术 创新 中 获取 价值 能 力 的 影响 进行 量化 。 

麦肯锡 的 独立 调查 机 构 麦 肯 锡 全 球 研究 所 (MckKinsey Global Institute，MGI) 曾 分 析 技 术 创 新 的 价值 。 在 其 《颠覆 性 技 
术 》 报 告 中 ， 该 研究 所 研究 了 改变 社会 生活 、 商 业 以 及 全 球 经 济 的 12 项 技术 ， 到 2025 年 ， 这 些 技术 每 年 对 全 球 经 济 的 影响 额 在 
14 万 亿 ~33 万 亿美 元 。/ 

然而 ， 我 们 在 对 网 络 安全 负责 人 和 专家 的 采访 中 发 现 ， 很 多 技术 的 广泛 应 用 前 提 是 ， 保 障 它 们 所 依赖 数据 的 机 密 性 和 完整 


性 。 如 果 医 生 和 患者 认为 电子 病历 会 被 偷 走 或 被 破坏 ， 要 劝 他 们 使 用 电子 病历 就 会 更 难 。 在 达 沃 斯 举行 的 2014 年 世界 经 济 论坛 
中 的 很 多 会 议 上 也 反映 出 这 个 问题 : 关于 技术 创新 的 谈话 会 很 快 演变 成 讨论 某 项 技术 是 否 能 保护 相关 数据 。 


我 们 认为 ，MGI 的 12 项 技术 进步 中 的 9 项 有 遭受 网 络 安全 威胁 的 风险 ， 这 意味 深长 ， 包 括 云 计 算 、 物 联网 、 移 动 互联 网 、 快 
速 进入 新 兴 市 场 、 知 识 型 工作 的 自动 化 、 社 会 技术 、 电 子 商 务 、 无 人 驾驶 汽车 及 下 一 代 基 金 组 学 。 综 合 MGI 的 数据 ， 假 设 9 项 技 
术 都 得 到 积极 实施 ， 在 2013~2020 年 ， 每 年 创造 的 价值 在 8 万 亿 ~ 18 万 亿美 元 ( 见 图 2-2) 。 


加 较 低 估计 ” 曙 较 高 估计 


创新 预计 2020 年 每 年 的 价值 ， 单 位 : 10 亿 美元 
云 计算 CO 3 720 
物 联网 3 750 
移动 互联 网 1 330 2 880 
快速 进入 新 兴 市 场 国 - 10,;0 


知识 型 工作 的 自动 化 ISO 3 220 
社会 技术 加 5 1 100 
电子 商务 EZ 510 


(近似 ) 无 人 驾驶 汽车 0 0 


下 一 代 基 金 组 学 2 960 


图 2-2 ”在 2020 年 可 创造 8 万 亿 ~18 万 亿美 元 价值 的 9 项 技术 创新 


资料 来 源 : MGI reports, United Nations Conference on Trade and Development (UNCTAD) , Interna-tional Monetary 
Fund (IMF) , McKinsey Economic Analytics Platform, industry leader interviews. 


然而 ， 技 术 高 管 告诉 我 们 ， 他 们 的 公司 是 否 能 开展 应 用 这 些 技术 ， 很 大 程度 上 受 这 些 技术 的 网 络 安全 风险 是 否 可 控 的 观点 影 


响 。 在 数字 化 适应 力 场景 中 ， 每 年 18 万 亿美 元 的 价值 可 完全 实现 ， 但 是 其 他 两 个 场景 中 延缓 执行 现象 会 对 预期 价值 的 实现 产生 

影响 。 举 例 来 说 ， 到 2020 年 ， 采 用 云 计 算 技术 每 年 能 产生 2.7 万 亿美 元 价值 ， 但 这 只 是 在 “数字 化 适应 力 ”场景 中 ， 在 “得 
且 过 的 未 来 ”场景 中 ， 技 术 的 延缓 使 用 时 间 超 出 11 个 月 ， 这 相当 于 到 2020 年 每 年 造成 4700 亿 美元 的 损失 。 在 “数字 反弹 ” 场 
景 中 ， 所 有 技术 推迟 使 用 的 时 间 会 是 前 者 的 3 倍 之 多 。 因 此 ， 以 云 计算 为 例 ， 推 迟 使 用 3 年 ， 经 济 损失 也 就 是 前 者 的 3 倍 。 到 2020 
年 ， 全 球 经 济 约 损失 1.4 万 亿美 元 。 


当然 ， 这 些 数字 估计 存在 一 定 的 误差 ， 但 不 管 确切 数字 是 多 少 ， 足 见 网 络 安 全 的 影响 是 很 大 的 。 如 果 我 们 深入 了 解 这 三 个 场 
景 ， 可 以 看 出 是 什么 让 这 些 场景 得 以 实现 、 在 这 些 情 况 下 的 世界 将 是 怎样 的 、 这 些 场景 对 实现 变革 性 技术 的 价值 影响 有 多 大 。 一 
些 CIO 及 其 他 商业 领袖 已 经 发 现 如 今世 界 网 络 安 全 环境 非常 有 挑战 性 ， 他 们 或 许 意 识 到 这 个 挑战 会 越 来 越 大 。 


场景 1: 得 过 且 过 的 未 来 


2020 年 1 月 15 
在 简 : 施 娜 格 斯 (Jane Schnauggs) 的 办 公 室 里 ， 糟 糕 的 一 天 开始 了 。 她 是 美国 最 大 型 公立 贸易 医院 网 络 公司 HyperCare 的 CIO。 

简 对 今年 的 预算 内 容 甚 感 失望 和 厌烦 ， 生 意 合作 伙伴 希望 她 提供 最 新 一 代 移 动 患 者 体验 和 临床 决策 支持 工具 ， 且 又 不 提高 IT 预算 。 

简 用 近 18 个 月 时 间 才 招 由 到 新 上 任 的 cISO 弗 兰 克 ， 但 是 简 并 不 知道 弗兰克 花 钱 大 手 大 脚 ， 且 爱 争 论 。 虽 然 检 测 病 毒 的 新 工具 并 不 是 特别 昂 
贵 ， 但 还 没 人 能 告诉 她 如 何在 恰当 的 时 间 范 围 证 明 它们 发 挥 效力 。 预 算 的 真正 问题 在 于 > 兰 这 坚持 认为 网 络 和 应 程序 重 构 必 不 可 少 ，* 它 
们 从 最 初 设计 就 都 不 安全 。“ 虽 然 这 些 没 有 加 入 到 安全 预算 中 ， 但 不 代表 预算 价格 能 灾 得 更 低 - 


比 外 ， i 营 效率 ， 受 到 诸多 监控 和 打 补 丁 的 活动 《大 部 分 由 监管 者 规定 ) 的 大 幅 影 响 。 刚 进入 1 月 ， 简 就 已 开始 担 
心 因为 今年 的 预算 面临 的 危机 了 ， 还 有 就 是 ， 与 首席 财务 官 的 第 四 季度 会 议 也 会 令 人 极为 不 悦 。 


更 糟糕 的 是 ， 现 在 ， 移 动 和 临床 支持 项 目的 进度 都 落后 于 计划 数 月 时 间 ， 原 因 在 于 ， 弗 兰 克 宣称 每 个 应 用 程序 在 处 理 敏感 数据 中 都 存在 根本 缺 
陷 。 每 隔 几 天 ， 简 就 会 从 不 同 的 高 级 医师 处 收 到 一 封 新 邮件 ， 8 人 中 千 激 好， 新 的 密码 策 名 让 他 们 非常 头痛 。 


简 的 办 公 室 门 被 人 推 开 ， 打 断 了 简 沉默 的 抱怨 。 
“弗兰克 ,， “她 说 ，" 请 不 要 误会 ， 我 想 说 ， 你 不 是 我 最 想 看 到 的 意外 访客 。”“ 弗 兰 克 带 着 歉意 ， 脸 上 内 过 一 丝 笑容 ， 这 之 后 通常 会 是 坏 消息 。 


京 


情况 本 会 更 糟糕 ， 但 幸好 ， 这 些 攻 击 者 还 相对 没 那么 有 经 验 ， 他 们 曾 试图 从 电子 病历 系统 盗 取 约 1500 名 患者 的 数据 。 

“他 们 从 一 个 IE 地址 范围 控制 恶意 软件 ， 这 个 范围 是 因 网 络 犯罪 而 “弗兰克 说 ，“ 如 果 不 是 这 样 ， 我 们 就 不 可 能 这 么 快 抓 到 人 他们， 他们 
i 和 用 这 些 病历 进行 医疗 欺诈 ， 或 者 卖 给 可 能 进行 欺诈 的 第 三 方 。 现 今 ， 个 人 健康 信息 病历 的 市 场 价格 或 许 已 经 达到 每 人 近 1000 美 元 
出 此 丝 漏 ， 面 临 的 罚金 可 能 有 200 万 美元 ， 人 能 还 得 再 需要 两 三 百 万 美元 。 一 家 大 型 医院 的 医务 主任 向 记者 承诺 ， 所 有 患者 
的 信息 都 未 遭 破 坏 。 这 像 是 把 他 们 者 当成 痢 了 

作为 一 家 年 收入 为 150 亿 美元 的 公司 ， 这 个 代价 是 沉重 的 ， 但 绝对 可 控 。 当 然 ， 克 回 来 告诉 简 ， 解 决 系统 缺陷 所 需 的 花费 ， 简 就 知道 
今年 她 无 法 达到 预算 目标 了 。 


“得 过 且 过 的 未 来 ”场景 ， 就 相当 于 “什么 事 没有 发 生 ”， 和 “发 生 了 什么 ”没什么 两 样 。 


攻击 者 会 继续 提升 攻击 能 力 ， 但 是 国家 级 的 攻击 能 力 仍 掌握 在 一 小 部 分 国家 手 上 ， 它 们 会 为 保护 现 有 经 济 秩 序 而 投入 大 量 资 
金 。 为 了 获取 政治 利益 、 军 事情 报 和 经 济 利 益 ， 一 些 国家 继续 无 耻 地 监听 ， 不 过 网 络 武器 仍 待 在 仓库 里 。 其 他 网 络 攻击 者 继续 扩 
大 活动 范围 ， 瓷 取 身份 信息 、 进 行 欺诈 ， 不 过 ， 他 们 的 攻击 仍 是 寄生 性 的 而 非 破坏 性 的 ， 只 是 将 全 球 在 线 经 济 巨 大 数额 中 的 很 小 

一 部 分 囊括 到 自己 口袋 中 。 毕 竟 ， 如 果 攻 击 者 今天 迫使 一 家 银行 或 在 线 零售 商 遭 受 破坏 停业 ， 下 回 他 们 就 无 法 再 从 中 盗 取信 息 
了 。 


企业 机 构 会 努力 保护 自己 ， 对 网 络 安 全 模型 会 投入 更 多 资源 ， 进 行 更 严格 的 设计 一 一 这 些 模型 是 2014 年 好 不 容易 才 建 立 
的 。 保 护 企业 不 受 网 络 攻击 仍 是 “IT 的 问题 ”， 更 具体 地 说 是 “CISO 面 临 的 问题 ”。 高 级 管理 者 会 继续 规划 商业 战略 、 制 定 业 
务 流程 ， 而 不 考虑 基础 数据 如 何 得 到 保护 。 商 业 领袖 没有 完全 参与 到 网 络 安 全 的 讨论 中 ， 使 得 决定 哪些 数据 最 需要 保护 变 得 很 
难 。 这 样 ，IT 安 全 团队 只 能 给 所 有 数据 都 提供 同等 保护 级 别 ， 这 就 增加 了 花费 ， 也 给 用 户 带 来 了 不 便 。 安 全 工作 仍 应 位 于 应 用 程 
序 开 发 和 基础 设施 环境 之 上 ， 而 不 是 内 腐 其中， 不 然 只 会 让 新 技术 的 实施 延迟 时 间 、 增 加 人 花费。 


在 这 个 场景 中 ， 更 广泛 的 生态 系统 给 企业 机 构 提供 的 帮助 十 分 有 限 。 网 络 安全 策略 仍 是 相互 脱节 的 ， 国 家 间 合 作 较 少 ， 不 同 
企业 、 监 管 机 构 间 的 协作 也 不 多 ， 情 报 机 构 正 努 力 寻 找 与 私营 机 构 分 享 网 络 情报 的 方法 ， 既 不 造成 隐私 泄露 也 不 破坏 敏感 信息 来 
源 ; CIO 和 CISO 继 续 面临 令 人 眼花 坪 乱 、 错 综 复杂 的 隐私 和 安全 方面 规定 ; 供应 商 依旧 将 创新 性 安全 技术 带 到 市 场 上 ， 但 是 很 
少 有 新 标准 出 现 ， 并 且 大 多 产品 只 有 一 次 性 解决 方案 ， 没 有 大 规模 劳动 密集 型 集成 系统 的 话 ， 这 些 产品 就 不 适合 用 于 更 广泛 的 安 
全 平台 . 


影响 数 十 亿美 元 


对 于 这 个 场景 中 的 CIO 来 说 ， 网 络 安全 就 像 20 世 纪 五 六 十 年 代 初 的 纽约 警察 ， 小 罪犯 各 有 组 织 的 犯罪 从 来 没 消失 ， 但 也 从 来 
没 真正 控制 什么 或 对 城市 的 社会 和 经 济 造 成 根本 威胁 。 然 而 ，C1O 总 是 觉得 自己 比 攻 击 者 慢 半 步 ， 陷 入 无 止境 的 应 用 安全 补丁 ， 
不 停 试验 那些 声称 能 识别 攻击 的 新 安全 产品 中 。 要 符合 那些 复杂 的 规章 制度 会 占用 更 为 紧张 的 安全 资源 。 在 全 球技 术 环境 中 ,在 
不 同 国家 间 协 调 监管 内 容 、 法 规 规定 ， 会 让 任何 技术 的 落地 都 变 得 越 来 越 难 。 


对 组 织 机 构 来 说 ， 网 络 安全 工作 比较 麻烦 ， 实 施 成 本 高 ， 而 且 安全 团队 、 业 务 团队 及 其 他 技术 团队 之 间 会 经 常 因为 技术 创新 
引发 的 安全 问题 发 生 冲突 。 大 多 技术 创新 仍 能 合理 、 及 时 地 落地 实施 ， 但 是 由 于 移动 平台 的 普遍 性 及 其 安全 问题 ， 很 多 云 服务 供 
应 商 的 安全 模型 缺乏 透明 度 等 原因 ， 移 动 应 用 技术 和 公有 云 技术 方面 的 实现 速度 显得 尤其 滞后 。 以 物 联 网 为 例 ， 当 监管 机 构 及 企 
业 找 到 了 将 消费 电器 、 工 业 机 械 安全 地 连 入 互联 网 的 方法 时 ， 如 果 比 预计 推迟 5 个 月 投入 应 用 ， 将 意味 着 放弃 在 2020 年 实现 
2100 亿 美元 (相当 于 这 个 场景 中 年 度 总 价值 损失 的 5%) 的 价值 。 


有 些 人 的 家 居 采 用 网 络 实现 自动 化 操作 ， 但 没有 人 会 希望 犯罪 分 子 借 此 能 了 解 到 自己 何 时 出 城 或 是 家 里 有 什么 值钱 的 物品 。 


由 于 延缓 使 用 创新 技术 应 用 ，“ 得 过 且 过 的 未 来 ”这 一 场景 会 导致 在 2020 年 累计 损失 超过 1 万 亿美 元 ， 其 中 影响 最 大 的 是 云 
计算 、 物 联网 、 移 动 互 联网 、 知 识 型 工作 的 自动 化 〈 见 图 2-3) 。 


四 较 低 估计 “ 目 较 高 估计 


创新 项 上 至 2020 年 预计 每 年 创造 的 价值 。 ”延迟 时 间 ”在 2020 年 的 影响 
单位 : 10 亿 美元 单位 : 月 单位: 10 亿 美元 

云 技术 1 020 3720 “国光 用 11.4 -470 

物 联 网 1 600 3750 Ml 5.1 -210 


移动 互联 网 2 880 加 4.7 -150 


快速 进入 新 兴 市 场 葵 170230 上 国 3 -10 
知识 型 工作 的 自动 化 2 500 3 220 国 2.9 -100 
社会 技术 1 100 国 2.6 -30 
电子 商务 加 220.10 图 22 -10 
下 一 代 基 因 组 学 Ez 960 四 1.3 -10 
总 计 8 万 亿 ~18 万 亿美 元 -1 万 亿美 元 


图 2-3 “得过且过 的 未 来 ”场景 将 1 万 亿美 元 置 于 险 境 


资源 来 源 : MGI reports，UNCTAD，IME，McKinsey Economic Analytics Plaform, industry leader interviews 


数字 反弹 


2020 年 1 月 15 日 


" 喝 ， 今 天 不 会 是 挫 公 室 里 的 一 个 糖 糙 日 子 吧 。“ 和 HyperCare 公 司 的 CEO 及 法 律 总 顾问 坐 在 参议 院 听证 会 房间 里 ， 简 - 施 娜 格 斯 这 样 想 着 。 她 
曾 试图 推 掉 在 参议 院 国土 安全 及 政府 事务 委员 会 中 为 CTSO 弗 兰 克 作证 ， 但 是 ， 公司 的 法 律 总 顾问 礼貌 但 坚决 地 告诉 她 ， 鉴于 目前 问题 的 严重 
性 ， 该 参议 院 委员 会 成 员 想 要 听 到 来 自 公 司 最 高 层 技术 领导 的 证 词 。 


参议 员 看 了 看 他 的 笔记 ， 对 简 说 : “我 想 了 解 HyperCare 公 司 在 移动 临床 试验 (Mobile Clinician Experience) 项 目 上 的 安全 策略 ， 你 
们 称 为 MCE? Hypercare 公 司 术 能 保护 自己 得 网 交 六 汪 ， 这 些 攻击 利用 了 MCE 技 术 漏洞 关闭 了 手术 室 ， 影 响 到 六 个 大 城市 的 医院 。 急 救 医疗 
操作 不 得 不 转 至 附近 的 公立 医院 ， 造 成 严重 和 干扰。 我 还 知道 ，HyperCare 的 临床 决策 支持 工具 遭受 卫 攻 击 者 破坏 ， 幸亏 护士 拒绝 按照 该 工具 

we 人 受到 有 害 治 疗 。 施 娜 格 斯 女士 ， 你 在 此 过 程 中 发 挥 了 什么 作用 ? 你 是 否 真 的 忽略 了 公司 安全 团队 提出 的 对 
MCED 2 站? 7 


简 沉 默 了 一 会 儿 ， 尝 试 回忆 她 从 企业 公关 团队 得 到 的 指导 。 
简 在 HyperCare 公 司 做 CTO 的 两 年 并 不 是 十 分 轻松 。 出 于 某 种 考虑 ， 一 些 有 时 间 、 别 有 用 a 客 都 认为 ， Sd 


心 的 黑 
进 自己 的 事业 发 展 。HyperCare 公 司 参与 了 《平价 医疗 法 案 》 的 实施 ， 可 能 一 些 人 认为 它 是 个 有 衬 带 突 蒜 的 资本 家 ， 另 有 一 些 人 明显 认为 ， 
一 家 私营 连锁 医院 会 为 了 利益 而 牺牲 患者 的 健康 和 安全 。 


下 站 


国 


攻击 者 先 发 起 分 布 式 拒绝 服务 攻击 ， 搞 瘫 了 HyperCare 公 司 的 互 忧 网 服务 器 ， 阻 止 患者 预约 或 查看 实验 室 结果 ， 这 给 患者 造 成 各 种 个 更 。 攻 
击 者 在 网 上 泄露 的 信息 更 让 公司 感到 乾 软 。 管 理 人 员 在 备忘录 和 电子 邮件 中 讨论 如 何 让 医疗 保险 补偿 最 大 化 ， 这 已 经 够 糟糕 的 了 。 更 糟糕 的 
是 ， 名 人 、 政 客 的 个 人 健康 信息 被 泄露 ， 尤 其 是 这 引起 的 罚款 问题 ， 同 时 还 激 起 人 们 对 电子 病历 隐私 保护 的 怀疑 。 


兰 克 的 安全 团队 认为 ， 网 络 罪犯 利用 政治 攻击 来 分 散 安全 团队 的 注意 力 ， 同 时 他 们 还 从 事 一 些 赚 钱 的 买卖 : 为 了 医疗 诈骗 而 删除 信息 。 
简 静 静 地 想 着 她 对 很 多 公共 机 构 的 不 满 。 她 感觉 ， 有 时 弗 兰 了 人 交道 ， 而 这 些 机 构 提出 的 要 求 与 法 律 及 国家 安全 要 求 
之 间 有 时 是 重复 的 甚至 是 相互 矛盾 的 。 弗 兰 死 告诉 她 ， 采 这 是 信 隐私 保护 原因 ， 保护 情报 界 在 监控 网 络 攻击 中 的 "资源 及 方法 “， 他 
们 对 可 操作 信息 的 每 个 请 求 都 置之不理 。 


在 保护 HyperCare 公 司 的 系统 和 数据 上 ， 她 投资 很 多 。 对 于 监管 者 所 要 求 的 每 个 安全 技术 ， 她 都 安排 预算 。 她 还 对 每 个 重要 的 IT 流程 进行 严 
和 在 应 用 程序 开发 的 每 个 阶段 ， 都 需要 先 得 到 安全 团队 的 签字 验收 ， 和 否则 不 允许 项 目 继续 (全 。 但 是 ， 这 并 没有 让 商业 合作 伙伴 满意 ， 


者 还 抱怨 要 做 每 件 事 都 像 辈子 时 间 似 的 。 然 而 ， 每 当 出 现 攻击 的 时 候 ， 大 声 抱怨 IT 不 称职 的 也 是 这 些 人 。 

CE 曾 被 寄予 厚望 成 为 力挽狂澜 的 规则 改变 者 : 利用 IT 技术 创新 提 振 HyperCare 的 项 目 一 通过 将 丰富 的 病例 与 临床 决策 支持 匹配 到 一 个 移动 
屏幕 上 来 提高 医疗 工作 效率 。 由 于 系统 受到 攻击 ， 董 事 会 开始 质疑 Id] 术 创 新 是 奋 能 提高 工作 效率 。 要 知道 ， 为 了 得 到 高 层 领导 团队 的 支 
0 己 的 个 人 信誉 也 赌 上 了 ， 最 终 ， 这 个 项 目 获得 批准 。CFO 已 然 将 技术 创新 带 来 的 运营 收益 并 入 下 一 年 的 预算 ， 医 生 们 也 高 度 赞 
扬 用 户 体验 

兰 克 兽 告诉 她 : “从 多 个 供应 商 处 得 型 的 设备 、 操 作 系统 、 容 器 及 应 用 程序 平台 不 如 从 一 家 民 应 商 得 到 的 集成 水 平 高 。 要 问 是 否 会 遭 非法 入 
侵 ? 随时 都 有 可 能 。 我 们 已 经 在 安全 如 为 上 耗费 大 把 时 间 ， 但 是 ， 最 后 出 于 性 能 的 原因 我 门帘 要 求 将 大 量 数据 旗 入 这 样 的 没 备 中 。 你 得 做 个 决 
定 。” 
最 后 ， 简 开始 说 话 了 ， 解 释 自 己 为 何 批准 该 项 目 继续 推进 。 


“数字 反弹 ”场景 中 往往 有 不 健全 的 响应 机 制 ， 这 远 非 不 切实 际 的 例外 场景 。 安 全 公司 RSA 的 副 总 裁 、 安 全 环境 方面 最 受 尊 
敬 的 评论 员 之 一 阿 特 : 科 维 略 (Art Coviello) 说 : “大 家 都 想当然 地 认为 我 们 的 网 络 安全 最 后 自然 而 然 地 会 进入 得 过 且 过 状态 ， 
我 不 这 么 认为 ， 除 非 情况 有 所 转机 ， 我 们 会 进入 数字 反弹 状态 。 


攻击 者 会 优 于 防护 者 始终 处 于 领先 ， 威 胁 变 得 更 加 让 人 不 安 。 网 络 攻击 专家 意识 到 ， 他 们 可 以 通过 向 网 络 罪犯 转 售 恶 意 软 
件 、 脚 本 或 他 们 研发 的 技术 ， 来 稍微 弥补 企业 或 国家 收入 。 各 国政 府 会 因 网 络 间谍 引起 的 控诉 与 反 控诉 而 愤怒 ， 也 不 想 费 事 去 追 
捕 来 自 国内 的 破坏 性 攻击 一 一 只 要 这 些 攻击 不 是 针对 外 国 的 。 


一 些 技术 熟练 的 年 轻 人 会 认为 政府 及 商业 机 构 对 自己 的 需求 和 担心 没有 响应 ， 进 而 ， 他 们 会 认为 通过 黑客 行为 最 能 让 别人 听 
到 自己 的 声音 。 对 此 ， 一 些 人 还 会 辩 称 ， 如 果 大 型 机 构 的 表现 合乎 道德 规范 ， 他 们 就 不 该 担心 内 部 讨论 内 容 会 被 公之于众 。 


如 果 组 织 机 构 使 用 传统 的 、 遵 守法 规 为 主 的 网 络 安全 模型 ， 上 述 环境 将 使 传统 安全 模型 无 效 。 大 部 分 应 用 程序 及 基础 设施 架 
构 从 来 设计 得 都 不 够 安全 ; 公司 不 知道 如 何 集中 安全 控制 保护 最 重要 的 信息 资产 ;不 能 开展 数据 分 析 以 实时 识别 攻击 ， 也 不 能 
遭遇 入 侵 时 及 时 响应 。 这 样 导 致 的 结果 就 是 ， 可 能 出 现 针 对 大 型 机 构 的 一 系列 非常 公开 的 、 非 常 有 破坏 性 的 攻击 ， 并 会 引起 多 种 
强烈 冲突 。 


我 们 采访 的 很 多 CIO、CISO 称 ， 监 管 过 度 是 网 络 安全 风险 最 高 的 ， 意 思 是 说 ， 监 管 机 构 会 努力 制定 很 多 规定 : 要 采取 什么 
安全 控制 、 需 要 多 少 防 御 路 线 、 哪 些 数据 必须 由 内 部 托管 等 。 在 达 添 斯 论坛 上 ， 参 与 者 提出 “网 络 冷战 ”， 即 不 同 国家 会 利用 网 
络 安全 作为 借口 创建 “分 裂 网 ”， 这 些 “分 裂 网 ”相对 全 球 互联 网 (虽然 越 来 越 多 地 被 视 为 美国 运行 的 ) 来 说 存在 不 同 的 标准 。 


除了 监管 中 存在 的 挑战 ， 还 面临 着 制度 ;冲突 。 安 全 往往 是 应 用 新 技术 的 瓶 天 ， 很 多 CIO、CISO 告 诉 我 们 ， 在 安全 威胁 形势 
严峻 的 网 络 环境 中 ， 瓶 颈 就 变 得 越 来 越 紧 。 网 络 攻击 风险 越 大 ， 组 织 机 构 就 会 在 新 技术 应 用 上 越 趋 于 保守 。 


最 后 ， 还 面临 与 消费 者 冲突 的 可 能 性 。 这 或 许 是 最 不 可 能 但 又 最 具 破坏 性 的 反作用 。 大 多 数 情况 下 ， 消 费 者 会 对 网 络 攻击 和 
破坏 的 宣传 泰然 处 之 ， 他 们 仍 会 在 塔 吉 特 百货 购物 、 依 旧 使 用 索尼 的 在 线 游戏 网 络 等 。 但 是 ， 在 这 方面 已 经 开始 担忧 的 迹象 。 举 
例 来 说 ， 财 富 管理 和 经 纪 公司 的 CISO 告 诉 我 们 ， 富 裕 的 客户 已 经 开始 向 公司 财务 顾问 提出 一 些 很 尖锐 的 天 于 公司 财务 数据 安全 
性 的 问题 ， 这 些 问题 就 是 由 于 当时 发 生 的 网 络 攻击 引起 的 。 波 耐 蒙 研究 所 近期 的 调查 证 实 ， 消 费 者 越 来 越 担心 网 络 攻击 问题 ， 尽 


管 他 们 还 没有 准备 采取 什么 行动 。8 


然而 ， 如 果 受 到 破坏 的 数据 很 多 ， 引 起 广大 消费 者 的 担忧 ， 那 么 影响 将 是 深远 的 。 这 时 ， 公 司 就 会 突然 之 间 发 现 很 难说 服 客 
户 利 用 移动 支付 、 使 用 公司 提供 的 在 线 服 务 、 接 受 电 子 病历 等 ， 更 不 用 说 让 他 们 喜欢 使 用 企业 提供 的 其 他 更 先进 的 技术 了 。 


危及 商业 模式 及 整个 企业 


当 我 们 向 半导体 公司 的 管理 者 解释 “数字 反弹 ”场景 时 ， 他 们 不 禁 睁 大 了 眼睛 。 “如果 发 生 了 这 个 场景 ，” 其 中 一 位 说 
道 ，“ 那 么 物 联网 就 不 会 出 现 或 出 现 得 那么 快 了 。” 接 着， 他 们 解释 道 ， 公 司 的 收入 增长 预测 很 大 程度 上 依赖 于 这 些 联网 设备 所 
需 


的 心 片 量 。 


银行 业 ClSO 的 反应 则 不 同 。 他 们 认为 自己 的 银行 已 然 开始 经 历 过 数字 反弹 的 场景 了 ， 同 时 ， 监 管 较 少 、 非 传统 的 竞争 对 手 
仍 懂 借 地 走向 未 来 ， 这 一 差别 给 银行 创造 了 竞争 劣势 。 


对 于 CIO 和 CISO 来 说， 数字 反弹 像 是 一 场 特别 有 创造 性 的 持久 战斗 。 洪 在 攻击 总 是 从 另外 一 个 方向 过 来 ， 但 你 却 不 能 了 解 
攻击 者 的 意图 。 最 重要 的 是 ， 为 了 抵抗 攻击 不 得 不 采取 很 多 限制 措施 ， 至 少 会 给 用 户 带 来 很 多 (如 果 不 是 更 多 的 话 ) 不 便 。 对 于 
那些 想 从 数字 经 济 中 创造 价值 的 CEO 及 其 他 商界 领袖 来 说 ， 这 个 场景 看 上 去 像 是 20 世 纪 70 年 代 的 纽约 ， 当 时 ， 对 犯罪 的 恐惧 影 
响 了 纽约 的 旅游 业 ， 致 使 投资 低迷 、 居 民 和 企业 “ 逃 ” 往 城郊 及 更 远 地 方 。 


结果 就 是 ， 数 字 经 济 各 个 方面 的 发 展 都 是 慢 吞 吞 的 ， 企 业 机 构 在 物 联 网 上 进行 投资 的 速度 更 慢 了 ， 监 管 者 对 哪些 数据 可 以 存 
储 在 云端 的 限制 会 变 得 更 加 严格 ， 消 费 者 也 会 对 是 否 使 用 移动 商务 更 加 迟疑 。 


在 这 个 场景 中 ， 延 迟 15 个 月 采用 物 联 网 技术 ， 在 2020 年 从 这 项 技术 中 获取 的 价值 将 减少 6300 亿 美元 。 总 的 来 说， 在 2020 
年 ， 数 字 反 弹 造 成 的 损失 将 达 3 万 亿美 元 ( 见 图 2-4) ， 这 是 很 令 人 吃惊 的 数字 。 


创新 项 目 Fe “i 的 价值 
云 技术 1 020 

物 联网 1 600 

移动 互联 网 2 880 
快速 进入 新 兴 市 场 葵 170230 

知识 型 工作 的 自动 化 2 500 3 220 
社会 技术 1 100 

电子 商务 ;10 

下 一 代 基 因 组 学 ”EE 960 

总 计 8 万 ~18 万 亿 


图 2-4 


四 较 低 估计 时 较 高 估计 
延迟 时 间 ”在 2020 年 的 影响 
单位 : 月 。 单位 ，10 亿 美元 


I 34.2 
加 15.3 -630 
国明 14.1 -450 
国 11.4 _40 


-1 410 


园 3.7 -310 


国 7.8 -100 
图 6.6 -40 
是 5.1 -70 
3.9 -40 
-3 万 亿 


“数字 反弹 ”这 一 场景 将 导致 超过 3 万 亿美 元 的 经 济 风险 


资料 来 源 : MGI reports,， UNCTAD, IMF, McKinsey Economic Analytics Plaform, industry leader interviews 


景 3: 数字 化 适应 力 


2020 年 1 月 15 日 


简 : 施 娜 格 斯 在 办 公 室 旦 


“可 以 肯定 的 是 ， 我 们 丢失 了 


们 这 么 早 就 发 现 了 他 们 。 
数据 攻击 者 


建设 时 间 计划 能 做 什么 。 对 于 


该 公司 首席 医疗 官 世 
但 是 这 么 做 也 太极 7! ” 
医院 去 参观 。 “能 提供 适当 凭证 


费 苦心 


了 回 


“他 还 建议 将 一 些 信 息 输 入 网 络 ， 
的 话 ，“ 他 冷 冷 地 说 道 ， 


软件 网 络 (software-defined networking) 
但 是 今天 这 一 切 都 得 到 


报 。 软 件 网 络 可 以 让 简 的 团 


经 历 着 漫长 的 一 天 ， 不 过 ， 这 已 经 是 很 好 的 状态 了 。 


一 些 数据 ，“CISO 弗 兰 克 对 她 说 , “不 过 ， 太 多 是 一 般 业 务 数据 和 操 攻 
F 他们 能 成 功 渗透 网 络 低 安全 区 域 的 说 法 ， 我 们 还 没有 找到 证 据 ， 因 此 不 能 说 个 人 健康 记录 已 经 受到 影响 。 幸 亏 我 


党 试 盗 取 各 种 数据 ， 惊讶 。 一 个 国家 曾 开 展 一 项 运动 ， 


的 : ^ 他 们 是 否 1 道 我 们 巴 经 将 这 些 者 发表 在 医疗 刊物 上 了 3 我 知道 ， 订 阅 这 些 刊 物 的 费用 偏 
_HyperCare 很 高 兴 接 待 来 自 该 国 的 医疗 代表 团 到 公司 任何 一 所 大 


旨 在 盗 取 HyperCare 公 司 治疗 诸多 慢性 和 急性 疾病 的 医 


作 数 据 。 我 不 能 确定 的 是 ， 攻 击 者 利用 新 医院 


告诉 黑客 们 ， 
“他 们 甚至 可 以 参与 手术 


g) 已 经 成 为 一 场 真正 的 战役 。 网 络 运行 中 很 多 人 起 初 都 是 很 抵触 的 ， 获 得 初步 投资 也 是 钱 
的 业务 和 敏感 数据 设置 单独 区 域 ， 而 无 须 采 取 网 络 分 区 域 模 式 。 如 


队 针 对 敏感 


今 ， 攻 击 者 针对 最 敏感 资产 的 动作 被 真正 延缓 了 。 

当然 ， 把 业务 领导 和 医疗 领导 拉 在 一 起 谈论 网 络 安全 也 费 了 不 少 努 力 ， 特 别 是 企业 CEO 没 有 亲自 主持 筹划 委员 会 的 情况 。 大 家 每 个 人 都 知道 个 

人 健康 信息 是 非常 敏感 的 ， 任 何 与 医疗 保险 和 医疗 补助 补偿 相关 的 事情 都 是 非常 敏感 的 。 但 是 让 整个 企业 管理 团队 都 感到 惊讶 的 是 ， 很 多 数据 

实际 上 都 没 进行 保密 处 理 ， 例 如 建筑 方案 、 维 护 计划 、 医 疗 实践 等 ， 这 个 列表 还 很 长 。 

为 了 衡量 战略 应 用 平台 与 私有 云 环境 ， 公 司 开展 了 很 多 艰苦 细致 的 工作 ， 不 过 最 终 证 明 这 也 是 值得 的 。 简 在 决定 是 否 投资 项 目 时 ， 是 以 项 目 成 
灵活 性 及 上 市 时 间 等 为 依据 的 ， 不 过 她 醉 兮 之 意 不 在 酒 ， 她 想 将 安全 性 构建 到 平台 中 ， 这 样 ， 你 不 得 不 让 一 个 新 项 目 显得 不 安全 。 如 今 ， 

公司 私有 云 提 供 的 托管 环境 高 度 透 明 ， 可 帮助 他 们 快速 识别 遭 到 破坏 的 系统 。 


为 为 有 了 这 样 的 应 用 平台 和 云 环境 〈 以 及 在 部 署 之 前 没有 因 安 全 问题 而 延迟 ) ， 该 团队 可 以 更 快 地 构建 新 型 移动 临床 试验 (Mobile 
Clinical Experience) es 。 简 将 一 些 结余 进行 再 投资 ， 雇 用 了 人 体 工学 专家 ， 与 医生 们 一 起 研究 如 何 使 用 新 工 


“即使 他 们 没有 拿 到 任何 敏感 数据 ，” 弗 兰 克 打 断 了 简 的 思考 ， 他 说 道 ，“ 我 们 仍 在 做 事件 后 果 分 析 ， 我 们 确定 没有 把 错误 信息 传 到 监管 者 、 客 
户 或 是 媒体 处 。” 


简 把 手 搭 在 弗兰克 的 肩 上 送 他 到 门口 ， 温 和 地 请 他 离开 自己 的 办 公 室 。 这 天 下 午 ， 她 还 有 其 他 事情 要 处 理 。 


我 们 认为 ， 这 个 场景 是 本 书 读者 渴求 的 状态 。 不 存在 没有 网 络 攻击 的 完美 世界 ， 正 像 纽 约 不 可 能 没有 盗窃 现象 一 样 。 我 们 存 
在 这 样 的 世界 : 企业 和 机 构 通过 技术 进步 获取 最 大 利益 ， 而 不 是 始终 陷入 与 黑客 的 斗争 中 ， 并 且 也 不 会 破坏 自己 的 商业 模式 。 


本 书后 续 部 分 将 会 讲述 如 何 建 成 这 样 的 场景 ， 我 们 如 何 能 共同 推动 “数字 化 适应 力 ”成 为 普遍 推行 的 场景 ， 不 采取 行动 ， 是 
不 可 能 达成 的 。 基 本 上 来 说 ， 实 现 这 一 场景 有 两 个 驱动 力 : 组 织 机 构 的 网 络 安全 运 维 模型 有 了 根本 改变 ， 以 及 一 个 良性 、 更 广泛 
的 网 络 安 全 环境 。 


网 络 安全 运 维 模型 的 根本 改变 


为 应 对 更 具 挑 战 性 的 威胁 ， 大 多 组 织 机 构 会 实施 “控制 功能 ”型 的 操作 模型 。 此 前 ， 网 络 安全 缺乏 资金 支持 ， 企 业 对 技术 漏 
洞 少 有 洞察 力 ， 已 有 保护 措施 仅 注 重 边 界 ， 违 反 策略 不 会 导致 什么 后 果 ， 并 且 普 遍 存 在 不 安全 的 应 用 程序 代码 及 基础 设施 配置 漏 
洞 。2007~2013 年 ， 尤 其 当 公司 不 断 加 强 IT 建 设 时 候 ， 网 络 安全 成 为 一 种 控制 功能 。 企 业 提 高 了 IT 安 全 团队 的 管理 权威 地 位 ,万 
其 是 针对 与 行业 管理 部 门 相关 的 合 规 性 事情 。 它 们 锁定 终端 用 户 环 境 、 实 行 架构 审核 ， 以 减少 应 用 程序 开发 风险 及 基础 设施 项 目 
的 风险 。 


我 们 采访 的 CIO、CISO 及 首席 技术 官 们 明确 指出 ， 即 使 这 样 的 模型 也 越 来 越 无 法 运行 下 去 。 如 今 ， 大 多 组 织 机 构 还 使 用 这 
样 的 模型 。 该 模型 将 大 部 分 安全 责任 交 给 安全 团队 ， 并 没有 从 整体 上 考虑 全 局 ， 也 没有 注重 保护 最 重要 的 资产 。 该 模型 让 终端 用 
户 感到 失望 ， 让 安全 与 创新 之 间 的 冲突 增加 。 这 是 回顾 性 模型 ， 保 护 的 是 过 往 的 攻击 ， 而 非 防范 未 来 的 入 侵 。 该 模型 也 依赖 于 人 
工 干 预 ， 因 此 ， 在 威胁 加 强 的 时 候 扩展 性 不 是 很 好 。 


采访 也 发 现 ， 为 了 实现 “数字 化 适应 力 ” 场 景 ， 企 业 机 构 将 不 得 不 改变 这 种 模型 。 如 果 企业 想 让 自己 免 受 不 断 升级 的 威胁 侵 
害 ， 且 不 损害 从 技术 创新 中 获取 价值 的 能 力 ， 网 络 安全 必须 融入 更 广泛 的 业务 过 程 和 IT 过 程 中 。 


为 了 实现 这 种 网 络 安全 运 维 模型 ， 公 司 应 在 以 下 三 个 方面 做 出 改变 。 


(1) 改变 业务 流程 ， 这 包括 对 信息 资产 和 业务 风险 排列 优先 级 ， 争 取 一 线 人 员 的 协助 ， 将 网 络 安全 融入 更 广泛 的 管理 流程 
中 ， 将 应 急 响 应 集成 到 各 个 业务 功能 


(2) 改变 信息 技术 ， 这 包括 在 每 个 技术 环节 考虑 安全 ， 而 不 是 仪 在 最 外 层 。 
(3) 改变 网 络 安全 运 维 ， 这 包括 给 最 重要 的 信息 资产 提供 有 差别 的 保护 ， 部 署 积 极 防御 措施 抵抗 攻击 者 。 


技术 高 管 们 告诉 我 们 ， 几 乎 所 有 这 些 改变 都 将 成 为 游戏 规则 改变 者 ， 对 减少 企业 的 网 络 攻击 风险 都 有 极 大 的 影响 。 唯 一 的 例 
外 是 改变 一 线 人 员 的 行为 ， 如 果 这 能 实现 ， 将 带 来 巨大 的 变革 ， 但 是 由 于 改变 用 户 行为 将 面临 多 种 挑战 ， 未 来 是 否 能 实现 还 远 没 
有 形成 明确 的 看 法 。 


令 人 担忧 的 现象 是 ， 大 多 技术 高 管 称 ， 他 们 在 各 个 方向 都 还 没 取得 任何 进展 。 平 均 来 说 ， 对 于 目前 的 进展 ， 他 们 给 自己 的 打 


是 C 及 C- ( 见 图 2-5) 。 


四 影响 巨大 或 游戏 规则 改变 者 
为 达到 适应 力 的 关键 方法 受 访 者 回应 百分比 (%) 平均 自我 评分 


基于 业务 风险 给 信息 资产 划分 。 国 74 @ 
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调动 一 线 员工 保护 信息 资产 Ed @ 
业务 流程 

理 及 治理 流程 

不 断 测试 以 提高 所 有 业务 功能 

的 应 急 响应 能 力 I 65 S 
更 广泛 的 技术 ”将 网 络 安全 融合 到 技术 环境 I 85 

对 最 重要 的 信息 资产 提供 差别 保护 国 旦 师 呈 是 73 
网 络 安全 


部 署 积极 防御 措施 应 对 攻击 者 EE 75 


图 2-5 ”技术 高 管 们 意识 到 ， 他 们 在 实现 数字 化 适应 力 的 方法 上 还 有 很 多 提升 空间 


严格 来 说 ， 进 步 快 的 企业 机 构 与 其 他 机 构 的 最 大 区 别 并 不 在 于 投入 的 资金 多 少 ， 而 是 高 层 管理 团队 在 网 络 安全 方面 的 参与 支 


持 程 度 。 
良性 的 、 更 广泛 的 网 络 安全 环境 


要 实现 “数字 化 适应 力 ” 场 景 ， 企 业 必须 做 出 上 述 改 变 之 外 ， 还 有 很 多 事情 是 坚决 不 允许 发 生 的 。 比 如 ， 监 管 者 在 制定 法 规 
时 ， 要 多 制定 如 何 减少 业务 风险 的 规范 ， 少 制定 为 了 企业 合 规 性 而 提出 的 要 求 。 国 家 要 尽量 少 提 特 别 严 格 的 标准 要 求 ， 例 如 针对 
数据 位 置 、 当 地 技术 采购 等 ， 这 些 可 能 会 让 互联 网 拆 分 为 “分 裂 网 ”。 国 家 尽量 不 要 对 网 络 战争 提出 指责 或 有 什么 豪言壮语 ， 这 
可 能 阻碍 跨国 合作 。 

当然 ， 国 内 及 国际 机 构 可 以 采取 一 些 积极 的 措施 ， 促 进 形成 一 个 更 为 良性 、 更 为 广泛 的 网 络 安全 环境 。 然 而 ， 大 多 数 人 对 机 
构 自身 如 何 开展 自我 保护 能 够 形成 一 致意 见 ， 而 对 哪 种 具体 的 手段 产生 最 大 影响 等 方面 却 意见 不 一 致 。 每 一 个 CISO 都 希望 在 基 
础 网 络 安全 研究 中 获得 更 多 的 政府 投资 。 有 人 表达 了 质疑 声音 : 公共 部 门 是 否 能 做 出 有 效 的 投资 选择 。 

虽然 水 可 能 会 越 搅 越 浑 ， 不 过 ,我 们 认为 ， 谨 慎 地 采用 一 些 措施 能 有 助 于 数字 化 适应 力 的 实现 。 例 如 ， 主 要 的 州 安全 策略 相 
对 于 国家 网 络 安全 战略 更 加 透明 ， 在 主要 的 经 济 体 之 间 可 协调 网 络 监管 ， 执 法 机 构 及 私人 企业 可 更 多 合作 以 促进 信息 共享 。 


行业 组 织 可 促进 更 多 的 合作 研究 、 在 机 构 间 分 享 更 多 情报 ， 还 有 可 能 为 共同 的 网 络 安全 功能 创建 起 行业 共享 工具 ， 如 美国 财 
务 服务 信息 分 享 和 分 析 中 心 (Financial Services Information Sharing and Analysis Center，FS-ISAC) 。 


实现 全 部 价值 


如 今 企业 机 构 面临 着 似乎 不 可 能 解决 的 网 络 安全 两 难 局 面 ， 在 建立 起 数字 化 适应 力 后， 这 种 局 面 有 望 得 到 突破 。 企 业 将 能 
大 幅 降 低 知 识 产权 或 敏感 信息 丢失 风险 ， 缓 解 由 于 技术 创新 造成 的 业务 流程 受 损 ， 并 能 从 信息 技术 中 获取 全 部 价值 。 


抵抗 网 络 攻击 不 再 意味 着 创建 一 套 不 能 发 挥 业务 用 途 的 实验 ， 也 不 是 延迟 采用 创新 性 技术 。 


在 “数字 化 适应 力 ” 这 一 场景 中 ， 从 移动 互联 网 、 物 联网 、 云 计算 及 其 他 技术 创新 中 ， 社 会 可 能 每 年 获取 8 万 亿 ~18 万 亿美 
元 的 价值 。 如 果 我 们 因为 网 络 安全 问题 未 能 实现 数字 化 适应 力 ， 每 个 技术 创新 如 果 延 迟 采 用 一 个 月 ， 都 意味 着 技术 创新 的 经 济 价 
值 将 减少 ， 为 世界 人 口 创造 的 实际 利益 也 减少 。 


谈 到 友 起 网 络 攻击 的 威胁 ， 这 是 个 让 人 气 包 R 的 话题 。 有 价值 的 在 线 资产 、 开 放 的 互联 网 络 及 技术 熟练 的 攻击 者 共同 将 网 络 安 
全 问题 提 到 议事 日 程 上 。 但 不 幸 的 是 ， 大 多 企业 还 没有 能 力 让 自身 快速 地 从 技术 创新 中 获取 收益 ， 也 没 能 有 效 保护 自己 。 


未 来 几 年 ， 这 一 情况 会 得 到 好 转 ， 不 过 ， 情 况 或 许 会 更 糟 ， 在 最 好 和 最 差 的 场景 之 间 ， 是 3 万 亿美 元 的 差距 。 这 取决 于 企业 
是 抛 开 传统 孤立 、 被 动 的 网 络 安全 运 维 模型 ， 还 是 建立 数字 化 适应 力 所 需 的 能 力 。 为 了 使 企业 具有 数字 化 适应 力 ， 网 络 安全 生态 
系统 中 的 其 他 参与 者 应 支持 企业 实现 这 一 目标 ， 尤 其 是 监管 者 、 政 策 制定 者 及 技术 供应 商 。 


第 3 草 ”优先 考虑 风险 及 目标 保护 


在 没有 自然 防御 体系 、 军 队 数量 少 于 敌人 的 情况 下 ， 普 鲁 士 国王 腓 特 烈 大 帝 告 诚 将 军 们 : “眼光 短 浅 狭隘 之 人 试图 一 次 能 
御 住 一 切 ， 而 理智 之 人 会 首先 看 到 要 点 ， 阻 挡住 最 严重 的 打击 ， 而 承受 较 小 的 损伤 ， 因 此 或 可 避免 更 大 的 损失 ， 若 你 想 试图 控制 
所 有 ， 那 么 结局 就 是 什么 也 控制 不 住 。” 


对 普鲁士 指挥 官 适用 的 ， 也 同样 适用 于 忙 着 保护 自己 的 公司 免 受 网 络 攻 击 的 业务 和 技术 负责 人 。 有 如 将 军 们 必须 有 效 地 利用 
较 少 的 军队 来 防御 国家 最 紧迫 的 威胁 ，CISO 也 必须 将 资源 主要 用 于 公司 最 关键 的 业务 风险 上 。 


首先 ， 要 达成 数字 化 适应 力 需要 公司 必须 成 功 实施 两 个 方法 。 它 们 必须 基于 业务 风险 为 诸多 信息 资产 安排 优先 级 ， 并 给 最 重 
要 资产 提供 差别 保护 。 

目前 ， 有 太 多 公司 无 法 做 到 这 些 。 对 于 哪些 信息 资产 是 最 重要 的 ， 它 们 缺乏 洞察 力 ， 因 而 不 能 给 关键 资产 以 更 严格 的 保护 ， 
结果 就 是 ， 公 司 伦 了 大 价钱 却 并 未 实现 有 效 防护 。 

业务 部 门 、 风 险 管理 部 门 、IT 及 网 络 安全 团队 都 需要 有 共同 的 语言 和 共同 的 机 制 ， 来 评 佑 风险、 衡量 保护 措施 、 进 行 权 衡 取 
舍 . 

在 考虑 哪些 信息 资产 为 优先 级 时 ， 网 络 安全 团队 必须 权衡 严格 性 与 实用 性 ， 确 保 高 层 业务 管理 者 理解 每 个 选择 及 相应 影响 。 
一 旦 他 们 从 区 分 优先 级 进展 至 选择 正确 的 保护 措施 ， 就 需要 更 为 全 面 地 考虑 潜在 的 控制 ， 这 是 很 重要 的 。 能 在 这 方面 处 理 很 好 的 
公司 会 发 现 这 能 带 来 强 有 力 的 效果 。 它 们 发 现 了 此 前 未 曾 考虑 过 的 重要 资产 和 风险 ， 同 时 ， 发 现 例如 营销 数据 等 一 些 资产 没有 它 
们 想象 得 那么 至 关 重 要 。 最 后 ， 它 们 会 找到 一 组 控制 组 合 ， 既 能 降低 风险 ， 又 能 将 业务 影响 最 小 化 。 


在 这 里 ， 成 功 的 关键 自然 在 于 业务 管理 者 的 投入 程度 : 在 识别 信息 资产 、 评 估 业 务 风险 ， 在 风险 、 成 本 与 业务 影响 上 做 出 正 


确 权 衡 决策 中 ， 业 务 管理 者 的 参与 很 重要 。 


漫 无 目的 的 安全 措施 只 是 在 为 攻击 者 服务 


对 企业 来 说 ， 信 息 资 产 是 富有 商业 价值 的 数据 。 该 资产 不 是 特定 的 应 用 程序 、 数 据 库 或 者 服务 器 ， 而 是 这 些 里 面 所 存储 和 使 
用 的 信息 ， 例 如 客户 数据 、 定 价 信息 、 保 险 方法 或 设备 设计 等 。 


安全 控制 是 用 来 缓解 风险 的 方法 。 很 多 控制 方法 包括 多 项 网 络 安全 技术 ， 如 : 让 未 经 授权 的 通信 远离 企业 网 络 的 防火 墙 ; 保 
护 数据 不 让 没有 访问 权限 者 访问 的 加 密 技 术 。 一 些 控制 是 影响 更 广泛 IT 环境 的 政策 ， 例 如 开发 者 应 使 用 的 用 来 减少 代码 中 安全 漏 
洞 可 能 性 的 标准 ， 还 有 其 他 一 些 是 业务 流程 相关 的 政策 ， 比 如 一 段 时 间 后 哪些 数据 应 被 清除 。 


判断 哪些 资产 和 风险 最 重要 、 需 采取 什么 控制 是 十 分 困难 的 。 


公司 必须 保护 自己 不 受 一 系列 风险 的 侵害 ， 而 这 些 风 险 又 很 难 评估 。 对 于 机 损 事 故 、 信 用 卡 违约 或 是 员工 赔偿 请 求 等 情况 ， 
有 定量 数据 显示 历史 上 发 生 的 频率 及 这 些 事故 的 影响 ， 这 样 ， 针 对 各 种 风险 的 相对 重要 性 以 及 要 用 什么 措施 及 多 少 资金 可 减缓 风 
险 ， 企 业 可 以 做 出 明智 、 有 事实 为 依据 的 决策 。 


不 笠 的 是 ， 这 一 般 不 太 适 用 网 络 攻击 。 对 于 大 多 数 公 司 来 说 ， 被 国外 竞争 对 手 获 取 了 敏感 |[P、 机 密 的 客户 信息 被 公开 到 网 
上 、 在 线 客户 服务 多 天 连续 中 断 ， 这 些 都 是 极为 令 人 担忧 的 破坏 ， 但 是 ， 哪 一 个 是 最 重要 的 呢 ? 在 历史 数据 中 鲜 有 有 关 破 坏 的 影 
响 及 可 能 性 ， 而 且 历 史 数 据 的 格式 往往 不 支持 数据 统计 分 析 。 


即便 企业 在 共享 攻击 信息 上 没 那么 有 所 保留 ， 但 是 ， 攻 击 者 也 在 快速 地 发 展 和 演进 策略 ， 这 或 许 会 使 得 原 有 的 攻击 经 验 变 得 
没 那 么 相关 了 。 一 些 极 具 毁 六 性 的 风险 十 分 不 寻常 ， 无 法 用 历史 数据 来 解决 。 另 外 ,一些 情况 下 ， 一些 事 件 的 影响 是 偶然 且 不 确 
定 的 : 一 个 外 国 竞争 对 手 可 能 会 资 取 专 有 生产 技术 信息 ， 但 他 是 否 具备 专业 知识 来 利用 那些 信息 呢 ?” 对 此 没有 确切 答案 。 


对 于 该 保护 什么 、 如 何 保护 的 讨论 ， 可 能 最 后 以 没有 帮助 的 决议 结束 ， 比 如 “为 我 们 尽量 提供 好 的 防护 ”或 者 “我 们 无 法 容 
忍 任 何 数据 丢失 ”。 这 样 ， 决 策 的 责任 落 在 CISO 身 上 ， 而 他 们 缺乏 改变 企业 投资 重点 的 能 力 ， 也 缺乏 对 公司 所 拥有 的 信息 资产 
的 了 解 ， 进 而 不 了 解 这 些 资 产 对 企业 及 攻击 者 的 价值 几何 。 


就 连 银行 业 也 在 努力 争取 正确 操作 这 一 过 程 ， 尽 管 它们 面临 着 监管 压力 要 实现 记录 管理 流程 。 一 些 情况 中 ， 银 行 识别 出 了 在 
企业 风险 登记 中 的 网 络 攻击 ， 但 是 ， 登 记 本 身 缺 乏 利益 相关 者 买 进 (stakeholder buy-in) ， 因 此 无 法 被 用 来 推动 网 络 安全 策略 
或 投资 。 很 大 程度 上 ， 识 别 银行 风险 变 得 以 遵从 法 规 为 导向 ， 即 更 为 注重 遵守 流程 ， 而 不 是 生成 可 执行 的 见解 以 推动 网 络 安全 决 
策 。 

这 些 挑战 导致 的 结果 就 是 ， 很 多 CISO 转 而 依靠 以 下 三 个 中 的 某 个 方法 : 给 所 有 资产 以 同等 保护 、 注 重 高 级 管理 团队 议论 最 
多 的 任何 资产 ， 或 是 基于 权宜 之 计 来 决定 保护 措施 。 

给 所 有 信息 资产 以 均等 的 保护 ， 这 还 要 追溯 到 边界 保护 的 时 代 。 一 位 C10 告诉 我 们 ， 他 们 公司 的 环境 是 “外 硬 内 软 ”， 多 年 
来 ,该 公司 在 防火 墙 、 入 侵 侦 测 系统 及 其 他 控制 措施 上 大 量 投 入 ， 引 在 将 攻击 者 挡 在 公司 网 络 之 外 ， 但 是 在 保护 企业 数据 中 心 内 
部 的 个 人 系统 上 所 费 精 力 要 少许 多 ， 以 求 将 复杂 性 最 小 化 。 在 10 年 前 ， 这 个 策略 或 许 是 有 作用 的 ， 但 现在 已 难以 维持 ， 如 今 攻 
击 者 越发 目标 明确 ， 并 且 移 动 技术 兴起 ， 加 上 数字 化 的 普遍 实现 ， 这 些 都 创造 了 更 多 可 进入 企业 网 络 的 途径 。 即 使 边界 没有 如 一 
些 人 所 称 的 那样 废 奔 了 1 ， 它 也 不 再 是 保护 企业 的 唯一 防线 了 。 


不 管 怎样 ， 给 所 有 资产 均等 保护 都 是 代价 昂贵 且 不 必要 的 。 一 家 重工 业 公 司 多 年 时 间 都 在 辩论 是 否 将 所 有 工厂 车 间 与 企业 网 


络 断 开 或 “ 气 隙 ” (air gap) 。 网 络 安 全 团队 认为 ， 鉴 于 每 个 工厂 内 有 生产 控制 系统 ， 气 隙 应 是 最 好 的 做 法 。|IT 基 建 团队 反驳 
道 ， 断 开工 三 与 企业 网 络 的 连接 产生 的 复杂 性 会 产生 数 亿美 元 的 额外 支出 。 资 深 管理 层 努力 在 意见 相左 、 星 涩 难 懂 的 争论 中 做 出 
裁决 ， 最 后 ， 公 司 开始 梳理 不 同 工 厂 的 不 同 风险 ， 它 们 发 现 ， 理 论 上 讲 ， 针 对 生产 控制 系统 的 网 络 攻击 仅 会 在 公司 一 小 部 分 的 工 
三 产生 灾难 性 后 果 ， 而 在 其 余地 方 ， 线 路 中 断 是 所 能 发 生 的 最 坏事 情 。 基 于 这 样 的 分 析 ， 该 公司 将 约 一 成 的 工厂 从 企业 网 络 断 
开 ， 大 幅 降低 了 花费 ， 同 时 没有 危害 公司 的 运作 。 


控制 措施 并 非 总 不 足够 ， 有 时 也 可 能 面临 控制 过 多 的 情况 。 一 家 航空 公司 针对 销售 和 营销 资料 和 机 密 工 程 文档 一 样 ， 采 取 文 
件 控制 策略 及 技术 限制 。 结 果 ， 仅 仪 是 与 外 部 各 方 分 享 营销 文案 都 需要 多 重 批准 ， 在 其 协作 平台 上 执行 了 文件 级 别 访问 规则 ， 这 
一 过 程 需 要 数 周 ， 导 致 错失 了 机 会 一 本 来 旨 在 为 外 部 推销 而 设计 的 资料 无 法 得 到 分 享 ， 比 如 外 部 推销 包括 贸易 展览 、 销 售 会 
议 或 新 闻 发 布 会 等 。 人 们 常常 讨论 的 一 个 案例 是 ， 参 加 会 议 时 ， 营 销 团队 的 人 员 经 常 是 空 着 手 来 的 。 当 资料 按照 面向 公众 消费 计 
划 得 到 合理 分 类 、 访 问 控制 限制 取消 ， 营 销 团 队 即 可 更 为 及 时 地 响应 请 求 。 


一 些 公 司 没有 试图 给 所 有 资产 以 平等 保护 ， 它 们 没有 根据 严格 分 析 ， 而 只 是 不 完全 分 析 ， 有 时 是 基于 资深 管理 层 的 感情 投 
入 ， 而 注重 一 部 分 资产 和 风险 。 这 往往 会 导致 重大 风险 得 不 到 解决 。 举 例 来 说 ， 一 家 银行 遭遇 了 由 分 布 式 拒绝 服务 攻击 引起 的 主 
要 经 营业 务 中 断 ， 这 样 ， 大 部 分 额外 的 网 络 安全 投资 会 用 来 防御 相同 性 质 的 攻击 。 然 而 ， 这 样 会 导致 这 家 银行 在 防范 其 他 类 型 的 
风险 (例如 欺诈 及 内 部 威胁 ) 上 投资 不 足 。 当 客户 数据 异常 重要 时 ， 这 个 问题 尤为 严峻 ， 意 思 是 说 ， 企 业 机 构 都 非常 注重 保护 客 
户 信息 ， 致 使 它们 忽略 了 其 他 重要 数据 ， 比 如 企业 战略 信息 或 者 业务 流程 数据 等 。 


企业 最 后 一 个 常见 的 做 法 是 尝试 注重 对 最 重要 信息 资产 的 控制 ， 但 它们 并 没有 用 系统 的 方式 进行 ， 而 且 企业 其 他 职能 部 门 的 
投入 有 限 且 无 效 ， 这 样 也 是 存在 安全 隐患 的 。 若 一 家 保险 公司 将 网 络 安全 投资 几乎 完全 交 由 CISO 来 裁量 ， 结 果 就 是 ， 所 实施 的 
安全 控制 措施 ， 既 不 会 天 系 到 业务 部 门 认为 的 需要 保护 的 最 重要 资产 ， 也 不 会 关系 到 业务 部 门 对 用 户 体验 控制 影响 的 耐 受 性 问 
题 。 安 全 团队 感觉 与 公司 其 他 职能 部 门 有 些 隔离 ， 每 当 它 们 要 求 更 多 资金 来 满足 某 一 特定 需要 时 ， 企 业 领导 无 法 判断 这 部 分 额外 

是 


制定 信息 资产 及 风险 优先 级 ， 并 让 业务 领导 参与 其 中 


只 有 少数 公司 破译 了 这 样 的 密码 : 业务 、 风 险 、IT 及 网 络 安 全 要 综合 在 一 起 ， 利 用 共同 的 参照 系 ， 识 别 并 找到 该 优先 级 的 风 


企业 机 构 中 ， 能 正确 对 待 网 络 安全 的 业务 管理 员 ， 懂 得 网 络 攻击 的 风险 价值 以 及 精 选 、 高 强度 的 网 络 安全 计划 的 价值 。 他 们 
知道 哪些 信息 资产 是 最 重要 的 ， 这 些 资 产 遭 破坏 的 风险 应 推动 保护 措施 的 实施 及 资金 投入 。 在 这 样 的 企业 机 构 里 ， 网 络 安全 管理 
员 会 与 业务 管理 人 员 进 行 有 意义 、 富 有 成 果 的 讨论 ， 他 们 会 讨论 多 种 风险 减缓 措施 ， 以 及 接受 相应 风险 而 不 用 投资 来 减缓 风险 
的 影响 。 网 络 安全 领导 人 可 帮助 业务 管理 者 进行 艰难 的 权衡 ， 有 权 与 IT、 业 务 部 门 一 起 监督 计划 实施 ， 在 有 障碍 或 出 现 拖延 时 做 
出 有 益 的 调整 。 此 时 ， 就 安全 支出 对 企业 安全 的 贡献 来 讲 ，CI1O 会 乐意 认为 它 是 合理 的 并 为 其 辩护 ， 称 为 IT 计划 整体 投资 组 合 的 


一 部 分 。 


就 信息 资产 成 功 区 分 优先 级 的 项 目 具备 三 个 方面 特点 : 从 业务 角度 定义 资产 和 风险 、 高 层 业务 领导 参与 、 深 入 研究 长 尾 风 险 
(long-tail risk) 。 


从 业务 角度 定义 资产 和 风险 


鉴于 网 络 安全 作为 一 个 技术 学 科 的 历史 ， 对 于 CISO 及 其 团队 来 说 ， 从 技术 角度 考虑 风险 是 件 容易 事 。 然 而 ， 为 了 确保 揭露 
所 有 风险 并 且 让 业务 领导 有 效 地 参与 ， 网 络 安全 团队 需要 围绕 业务 理念 来 区 分 优先 级 ， 而 不 是 围绕 技术 。 


注重 信息 资产 而 非 数据 元 素 


被 问 到 有 关 优 先 信息 资产 的 问题 时 ， 很 多 CISO 会 说 他 们 实施 数据 分 类 项 目 。 这 意思 是 说 ， 他 们 的 一 个 团队 会 查看 每 个 数据 
库 的 所 有 字段 ， 并 分 类 为 “ 受 限 ”“ 机 密 ”“ 内 部 ”及 “公开 ” 几 类 ,通常 ， 这 要 花 两 三 年 时 间 。 理 论 上 讲 ， 这 类 方法 很 好 ,但 
实际 上 ， 这 经 常 不 包括 数据 库 之 外 重要 的 非 结构 化 数据 ， 而 且 攻 击 者 也 不 可 能 礼貌 地 等 待 公司 用 几 年 时 间 完 成 分 类 项 目 之 后 表 发 
动 攻 击 。 为 了 处 理 所 有 数据 、 获 得 可 以 依据 的 见解 ， 网 络 安全 团队 要 从 高 抽象 层次 入 手 ， 查 看 信息 资产 而 非 数 据 库 中 的 字段 或 者 
表格 。 


信息 资产 是 信息 的 相干 体 ， 拥 有 可 识别 可 管理 的 业务 价值 ， 这 要 由 业务 需求 和 目标 界定 ， 而 不 是 由 信息 是 在 哪里 、 如 何 储存 
的 详情 来 界定 。 如 前 所 述 ， 信 息 资 产 不 是 一 个 系统 、 数 据 库 或 应 用 程序 ， 它 可 能 是 消费 者 汽车 企业 的 客户 信息 、 即 将 面世 的 移动 
产品 的 业务 计划 或 者 是 涂料 应 用 的 生产 规范 ， 信 息 资 产 会 因 企业 的 不 同 而 不 同 ， 而 且 不 同类 型 资产 的 重要 性 也 不 同 。 


有 关 信 息 资产 的 粒度 (granularity) 的 正确 水 平 没有 硬性 规定 ， 例 如 ， 在 一 个 业务 部 门 里 ，10 种 不 同 产品 的 制造 说 明 书 该 
被 视 为 1 种 还 是 10 种 信息 资产 ”即便 如 此 ， 回 答 类 似 这 样 的 问题 有 两 种 启发 法 : 重要 性 和 区 别 。 哪 个 产品 影响 大 ?产品 间 是 否 有 
足够 的 业务 方面 差异 ， 致 使 他 们 的 制造 说 明 会 有 不 同 级 别 的 敏感 度 ? 


一 般 来 说， 根据 企业 的 规模 及 复杂 度 ， 一 家 企业 会 有 25~ 80 种 信息 资产 ， 表 3-1 显 示 出 一 家 保险 公司 的 典型 的 资产 列表 。 


表 3-1 信息 资产 包含 在 所 有 职能 部 门 〈 以 保险 公司 为 例 ) 


功 能 资 pa 
财务 会 计数 据 
证 券 
支付 数据 
税务 记录 
投资 管理 战略 性 资产 配置 
战术 性 资产 配置 
人 力 资 源 (HR ) 员工 数据 记录 
申请 者 数据 记录 
审计 审计 报告 
法 务 合 规 数据 
具体 诉讼 数据 
法 律 授权 数据 
首席 执行 官 功能 董事 会 / 管理 层 文件 (决议 、 业 务 计 划 、 策 略 ) 


市 场 管理 客户 细 分 
客户 价值 
营 销 策 划 


x 
NS 
Yt 
泪 H 


功 能 资 ri 
产品 、 保 险 精 算 、 再 保险 产品 和 风险 模型 (包括 历史 数据 ) 


产品 发 展 策略 (产品 路 线 图 ) 
客户 姓名 / 地址 数据 

销售 / 配送 客户 财务 数据 (包括 信用 卡 数据 ) 
私人 客户 个 人 数据 
企业 客户 内 部 数据 


策略 管理 / 承保 合同 信息 及 风险 评估 

合同 附件 (比如 电站 规划 ) 
索赔 管理 索赔 

专家 报告 (法 律 、 医 疗 ) 


rT 系统 访问 日 志 
身份 /访问 /授权 数据 
IT 构架 蓝图 及 源 代码 
运营 支持 设备 访问 日 志 
供应 商 /供应 商 成 本 


评估 商业 风险 ， 而 非 技术 风险 


当 我 们 询问 一 位 CISO 他 眼下 担心 的 风险 是 什么 时 ， 他 可 能 会 说 : “我 们 一 成 的 服务 器 在 一 个 行将 失去 支持 的 操作 系统 上 运 
行 ， 我 们 的 网 络 几乎 完全 是 扁平 的 ， 因 此 ， 在 攻击 者 进入 时 ， 我 不 能 让 他 们 慢 下 来 。 另 外 ， 我 说 过 开发 人 员 的 代码 有 故障 、 不 安 
全 了 吗 ?” 这 些 都 是 非常 重要 的 隐患 ， 几 乎 肯定 这 些 都 需要 解决 ， 但 是 解决 的 顺序 是 怎样 的 呢 ? 带 有 有 故障 的 、 不 安全 的 代码 的 
所 有 应 用 里 ,该 先 处 理 哪个 呢 ? 若 不 先 弄 清楚 这 些 问 题 是 无 法 找到 答案 的 : 应 用 中 含有 什么 信息 资产 、 攻 击 者 的 情况 、 企 业 会 受 
到 | 怎样 的 伤害 。 


商业 风险 的 构成 包括 以 下 因素 : 


“有 价值 的 信息 资产 (比如 个 人 健康 信息 、 新 产品 制造 过 程 ) 
攻击 者 (比如 有 组 织 网 络 犯 罪 、 国 家 支持 的 参与 者 ) 
业务 影响 比如 监管 或 法 律 风 险 、 工 业 间 谍 活 动 ) 


呈 


因此 ， 对 于 医疗 服务 提供 商 来 说 ， 商 业 风 险 可 能 是 ， 网 络 犯罪 盗 取 患 者 病历 导致 的 监管 及 法 律 风 险 ， 对 于 技术 供应 商 来 说 ， 
商业 风险 可 能 是 ， 遭 遇 有 国家 支持 的 攻击 者 偷盗 产品 制造 过 程 ， 并 且 攻 击 者 将 信息 卖 给 竞争 对 手 后 ， 企 业 失去 了 竞争 优势 。 


企业 会 发 现 ， 比 起 按照 技术 风险 或 技术 漏洞 来 讽 ， 按 照 商业 风险 来 思考 影响 及 可 能 性 要 更 容易 。 或 许 更 为 重要 的 是 ， 高 级 管 
理 者 认为 按照 商业 风险 来 思考 是 解决 网 络 安全 问题 的 一 种 具体 有 形 的 方式 。 


高 级 业务 领导 参与 


区 分 商业 风险 及 信息 资产 的 优先 级 意味 着 回答 一 些 策略 性 问题 : 如 果 一 家 公司 允许 攻击 者 盗 取 客户 个 人 数据 ， 客 户 们 会 是 什 
么 反应 ? 一 家 国外 竞争 对 手 会 从 访问 产品 基础 IP 中 获 益 多 少 (这 会 对 产品 的 发 展 和 利润 预期 有 何 影响 ) ”对 于 公开 的 网 络 破坏 行 


为 ， 监 管 者 会 作 何 反 应 ?解决 类 似 这 样 的 问题 需要 网 络 安全 团队 及 高 级 业务 管理 者 之 间 以 事实 为 依据 ， 进 行 详细 的 讨论 ， 并 且 ， 
双方 要 以 平等 姿态 协商 。 
从 一 个 假设 开始 


当 CISO 询 问 高 级 业务 领导 ， 哪 些 网 络 安全 风险 让 他 们 担忧 ，CISO 很 少 能 得 到 经 过 深度 、 全 面 思 考 、 基 于 基础 业务 驱动 因素 
的 答案 。 更 多 时 候 ， 他 们 得 到 的 回答 大 概 如 “我 没 认 真 考虑 过 这 点 ”或 者 “我 认为 ， 客 户 信息 是 最 重要 的 ”。 这 样 的 回答 恰恰 强 
调 了 网 络 安全 团队 不 能 仅 听 取 、 记 录 下 业务 管理 层 的 观点 的 原因 ， 他 们 还 要 形成 自己 的 假设 、 让 业务 管理 层 像 同事 一 样 参与 进 
来 。 


利用 价值 链 和 风险 分 类 


企业 价值 链 能 识别 出 重要 过 程 中 的 每 个 步骤 ， 举 例 来 说 ， 在 保险 业 里 ， 重 要 过 程 会 是 创意 (origination) 、 承 保 、 服 务 项 
目 、 理 赔 。 每 一 步骤 中 ， 商 业 风 险 的 分 类 显示 出 重要 问题 : 


.如果 与 价值 链 中 这 一 步 相关 联 的 数据 被 公开 披露 出 来 的 话 ， 是 否 会 导致 声誉 损失 ? 
:这 一 步 又 中 使 用 的 哪个 IP 可 能 对 竞争 对 手 有 价值 ? 

.这 一 步 又 中 有 什么 敏感 的 商务 信息 可 能 被 揭露 ? 

发生 网 络 欺诈 的 概率 有 多 少 ? 
.造成 业务 中 断 或 数据 损害 的 潜力 如 何 
可 能 会 发 生 什么 样 的 监管 措施 ? 


ee] 


回答 这 些 问题 有 助 于 网 络 安全 团队 首先 了 解 到 该 与 业务 部 门 领导 提 及 什么 样 的 商业 风险 及 信息 资产 ， 也 有 助 于 确保 过 程 中 的 
重要 问题 不 被 遗漏 。 图 3-1 清 晰 地 显示 出 风险 优先 级 。 


以 保险 业 为 例 价值 链 
市 场 营 销 和 产品 开发 ”) 销售 和 配送 。“) 。 承保 及 定价 》 投资 组 合 及 服务 ) ”支持 与 运营 
商业 风险 / / / / 
名 兴 报 失 及 ”思量 . 贷款 及 贸易 策略 员工 
条 的 售 和 折合 了 ee 被 断章取义 公开 Pa 
上 减少 . 客户 身份 被 次 


IP 和 专 有 数 。 “竞争 对 于 得 到 策略 、 .代理 或 客户 列表 ”区 区 芒 和 写生 过 


据 丢失 He . 承保 敏感 数据 被 次 
山寨 7 [ou 
机 密 商业 及 “ 销售 计划 及 预想 ”“… 对 价格 波动 的 竞 
财务 信息 泄露 泄露 争 性 反击 
: 利润 信息 被 公开 
及 运转 故障 
- 欺骗 性 的 应 用 

盗窃 和 欺诈 :〔《 如 通知 
监管 措施 ,客户 数据 保护 标准 图 


图 3-1 整个 价值 链 中 各 类 型 风险 的 等 级 ， 有 助 于 业务 部 门 领导 的 参与 
基础 业务 驱动 因素 的 综合 讨论 


就 哪些 信息 资产 面临 的 风险 最 重要 这 一 问题 ， 必 须 基于 基础 业务 驱动 因素 来 考虑 ， 如 规模 、 份 额 、 增 长 及 竞争 地 位 。 


举例 来 说 ， 一 家 制造 公司 只 有 查看 产品 的 总 收入 、 利 润 与 增长 之 后 ， 才 能 区 分 不 同 产品 的 IP 会 遭遇 破坏 的 风险 有 几何 。 首 
先 ， 业 务 管理 者 建议 从 产品 生命 周期 来 考量 ， 一 些 可 能 最 有 价值 的 IP 来 自 还 未 在 市 场 流行 开 来 的 新 产品 ， 这 把 讨论 引 向 哪个 产品 
价值 定位 最 依赖 于 IP， 最 终 ， 网 路 安全 团队 才 可 形成 从 未 来 几 年 的 收入 增长 及 利润 角度 来 看 哪个 I|P 对 公司 最 有 价值 的 相关 判断 。 


持 类 似 这 样 的 商业 观点 也 有 助 于 金融 机 构 弄 清 定 价 信息 的 价值 。 其 公司 很 多 业务 领导 称 ， 定 价 信息 及 数据 库 是 高 度 专 有 的 ， 
并 且 他 们 担心 员工 会 在 去 给 竞争 对 手 效力 前 复制 走 信息 。 然 而 ， 一 些 金融 产品 的 市 场 流动 性 很 强 ， 市 场 价 格 也 高 度 透 明 ， 其 他 产 
品 市 场 的 流动 性 较 低 ， 价 格 也 高 低 不 同 。 市 场 流动 性 越 低 ， 价 格 数据 作为 信息 资产 的 价值 越 高 ， 也 就 享有 越 高 的 优先 权 。 


记 住 ， 敌 人 会 投票 


任何 有 天 商业 风险 的 讨论 必 包 括 的 观点 有 ， 是 否 会 出 现 有 可 能 成 功 对 企业 实施 攻击 的 攻击 者 ， 他 有 能 力 和 动力 去 危害 和 利用 
企业 的 信息 资产 。 如 果 一 家 公司 通过 投资 数 亿 美元 开发 而 拥有 了 极 具 价值 的 P， 那 么 ， 这 明显 是 一 个 有 价值 的 信息 资产 ， 但 这 未 
必 意 味 着 会 有 与 这 相关 的 巨大 商业 风险 。 网 络 安全 团队 需要 和 业务 部 门 管理 者 进行 讨论 以 确定 ， 传 统 竞争 对 手 的 高 管 们 是 否 会 大 
了 让 自家 公司 的 市 场 份额 增加 几 个 百分点 ， 而 愿意 委托 网 络 攻击 来 盗 取 这 项 I|P、 冒 着 被 公开 披露 和 被 起 诉 的 风险 。 如 果 国 外 的 竞 
争 对 手 不 太 可 能 受到 起 诉 的 话 ， 他 们 就 会 更 具 侵略 性 ， 对 此 ， 网 络 安全 团队 及 业务 管理 者 就 要 考虑 ， 国 外 竞争 对 手 是 否 能 在 合理 
的 时 间 内 拥有 利用 这 项 高 价值 IP 的 专业 知识 ? 


制定 务实 、 透 明 的 决策 标准 


目前 ， 就 不 同类 型 的 网 络 攻击 带 来 的 预期 经 济 影响 ， 尚 无 人 开发 出 可 用 、 稳 健 且 普遍 适用 的 模型 。 然 而 ， 这 并 不 意味 着 ， 企 
业 就 应 完全 凭借 主观 因素 来 做 出 网 络 安全 投资 及 政策 决定 。 


利用 计 分 卡 的 方法 能 提供 良好 的 可 行 性 和 严密 性 ， 对 于 任何 给 定 的 商业 风险 ， 其 影响 都 可 用 企业 名 誉 、 竞 争 地 位 、 经 济 损 
失 、 监 管 影 响 这 几 方 面 来 打分 。 例 如 ， 少 于 1 亿美 元 的 经 济 影 响 可 被 认为 是 低 等 影响 ，1 亿 美元 到 10 亿 美元 是 中 等 影响 ，10 亿 美 
元 以 上 是 极为 高 等 的 影响 。 从 名 誉 角度 来 讲 ， 只 在 商业 性 出 版 物 被 公开 披露 的 名 誉 损害 是 较 低 影响 ， 在 全 国 性 或 地 区 性 报纸 上 登 
在 头条 新 闻 的 是 较 高 影响 。 监 管 方面 来 看 ， 产 生 较 低 影响 的 是 导致 监管 调查 但 没有 调查 发 现 的 ， 中 等 影响 是 有 调查 发 现 ， 不 过 有 
明确 的 修复 方法 ， 而 高 等 影响 会 导致 企业 与 监管 机 构 之 间 关 系 受到 极 大 负面 影响 。 


除了 影响 ,根据 以 下 几 方 面 ， 网 络 安全 团队 可 给 一 个 攻击 的 可 能 性 打分 ( 低 、 中 、 高 ) : 


.用户 暴露 : 可 访问 系统 的 用 户 数量 及 类 型 〈 如 仅 内 部 用 户 、 供 应 商 、 客 户 、 半 公开 的 、 公 开 的 ) 。 
“系统 暴露 : 存 有 信息 资产 或 有 信息 资产 通过 的 系统 数量 及 类 型 。 
隐患 : 质量 及 现 有 的 控制 程度 。 


攻击 者 : 对 潜在 攻击 者 来 说 的 价值 及 可 能 出 现 的 攻击 者 的 能 力 。 


利用 这 些 标准 ， 企 业 可 根据 预期 的 影响 进行 危险 度 分 级 ( 见 图 3-2) 。 如 果 这 一 点 完成 得 很 好 将 产生 变革 性 影响 。 针 对 最 重 
要 商业 风险 有 广泛 一 致 性 可 有 助 于 塑造 每 一 个 网 络 安 全 决策 一 一 从 如 何 构建 组 织 结构 到 在 哪里 部 署 资源 、 投 资 于 什么 技术 。 更 
为 直接 的 是 ， 这 会 促成 企业 实施 更 为 严密 的 控制 措施 ， 以 保护 最 重要 的 信息 资产 ， 普 遍 认为 ， 这 些 资 产 可 能 导致 的 商业 风险 是 至 
关 重 要 的 。 


风险 〈 不 能 尽 录 ) 


@@ 潜在 新 兴 市 场合 资 伙伴 
获得 谈判 策略 

© 有 关 抵 押 贷 款 再 融资 决 
策 的 内 部 邮件 泄露 

@ 在 核心 市 场 ， 客 户 访问 
及 管理 银行 账户 的 在 线 
渠道 故障 一 天 

@ 远程 访问 服务 中 断 半天 

@@ 以 高 净值 客户 的 账户 为 
目标 的 高 水 平 攻击 

@ 程序 员 插入 代码 将 大 量 
小 额 资金 转移 到 虚假 账户 


低 


低 中 


高 


可 能 性 


图 3-2 用 图 形 来 测绘 风险 可 能 性 与 影响 的 关系 图 有 助 于 推动 网 络 安 全 投资 决策 


深入 研究 长 尾 风 险 


将 商业 风险 按照 影响 和 可 能 性 来 分 层 非 常 有 益处 ， 可 以 让 公司 企业 制定 政策 与 和 控制 相关 的 实用 决策 。 然 而 ， 一 些 商 业 风 险 
非常 严重 ， 需 要 特别 考虑 ， 部 分 原因 在 于 ， 对 于 这 部 分 风险 没有 历史 数据 或 经 验 可 以 借鉴 以 评估 影响 。 


在 这 些 情况 下 ， 完 整 事件 场景 分 析 可 有 助 于 企业 理解 防止 或 缓解 这 样 的 攻击 所 需 的 投资 。 例 如 ， 有 时 甚至 需要 监管 机 构 来 决 
定 银行 必要 的 资金 储备 水 平 。 


事件 场景 分 析 是 识别 、 理 解 、 评 佑 一 家 公司 遭受 和 响应 特别 重大 事件 能 力 的 过 程 ， 鉴 于 企业 机 构 的 活动 属性 而 有 可 能 发 生 的 
重大 攻击 事件 。 这 些 事件 一 般 来 说 发 生 频 率 或 可 能 性 较 低 ， 但 严重 程度 高 。 


首先 ， 企 业 必 须 明确 其 正在 调查 的 高 水 平 攻击 事件 ， 对 于 一 家 银行 来 说 ， 这 事件 可 能 是 ， 或 与 不 友好 的 国外 政府 有 关联 的 政 
治 性 黑客 组 织 ， 试 图 中 断 和 破坏 贸易 操作 ， 以 给 整体 经 济 造成 经 济 损失 。 


接 下 来 ， 银 行 要 明确 影响 类 型 。 自 营 交 易 平 台 退 出 市 场 的 简单 直接 影响 ， 可 用 每 分 钟 的 美元 量 乘 以 系统 崩溃 的 分 钟 数 来 测 
算 ， 然 而 ， 银 行 月 溃 的 时 间 越 长 ， 市 场 就 越 会 意识 到 情况 并 开始 与 银行 及 其 头寸 反 向 交易 (trade against) 。 因 此 ， 时 间 与 直 
接 损 失 间 的 关系 就 非 线 型 了 。 那 么 ， 对 于 企业 客户 交易 会 产生 潜在 的 法 律 影响 ， 可 能 还 需 支 付 商 誉 赔偿 以 及 直接 赔偿 以 管理 名 誉 
影响 。 如 果 攻 击 者 成 功 更 改 谁 做 了 什么 交易 的 数据 ， 就 会 出 现 其 他 形式 的 曝光 。 


接 下 来 ,银行 必须 针对 这 些 影 响 进行 数字 量化 。 它 们 需要 决定 ， 随 着 时 间 的 增长 而 产生 的 损失 的 程度 ， 多 少 交易 头寸 转移 ， 
客户 还 有 什么 其 他 渠道 可 以 接触 到 资产 ， 破 坏 情 况 会 被 公开 披露 多 久 ， 预 计 的 罚款 级 别 (罚款 会 有 极 大 差别 ， 不 过 受 影响 的 客户 
数 、 每 个 客户 受到 的 影响 会 决定 罚款 数额 ) 。 得 出 的 结果 是 就 这 种 风险 场景 中 预 估 的 潜在 影响 达成 一 致 的 美元 数 。 


最 后 的 阶段 是 ， 发 起 创建 特定 商务 、 技 术 和 安全 建议 的 进程 ， 旨 在 减少 潜在 的 经 济 损失 。 


给 最 重要 的 资产 提供 差别 保护 


能 了 解 哪些 商业 风险 是 最 紧迫 的 、 哪 些 信息 资产 是 最 重要 的 十 分 关键， 但 是 这 只 能 产生 概念 上 的 好 处 ， 真 正 的 保护 能 力 来 自 
超越 放 之 四 海 而 皆 准 的 网 络 安全 模型 ， 并 系统 地 应 用 更 为 严格 的 控制 组 合 ， 来 保护 公司 最 重要 的 资产 。 这 对 于 大 多 数 网 络 安全 机 
构 部 门 来 说 ， 代 表 着 功能 的 显著 改变 ， 对 一 些 资产 引入 多 因素 身份 验证 或 静态 加 密 ， 且 不 增加 复杂 性 。 甚 至 ， 即 便 已 经 应 用 某 些 
更 为 严格 的 控制 的 一 些 机 构 也 很 少 能 做 到 系统 性 ， 并 与 公司 最 重要 商业 风险 一 致 。 处 理 好 这 一 点 需要 跨 业 务 部 门 、IT 及 网 络 安全 
部 门 的 更 高 水 平 的 相互 协调 。 


有 效 的 差别 保护 具备 四 个 要 素 : 在 基础 安全 措施 基础 上 分 层 更 严格 的 控制 、 将 优先 级 资产 映射 到 系统 、 实 施 全 面 控制 并 对 它 
们 分 层 、 评 佑 不同 控制 措施 如 何 共同 协作 以 将 对 用 户 的 影响 最 小 化 。 


在 基线 安全 级 别 之 上 有 选择 地 增强 控制 层 


为 企业 最 重要 的 信息 资产 提供 有 差别 保护 ， 补 充 而 非 蔡 代 对 整个 环境 有 效 的 基线 保护 。 防 火 墙 、 网 络 过 滤 工 具 、 入 侵 检测 系 
统 必 须 阻挡 住 不 恰当 的 通信 、 保 护 所 有 信息 资产 ;身份 及 访问 管理 (1&AM) 功能 必须 防止 未 授权 用 户 访问 企业 网 络 ;安全 运营 
中 心 必须 监测 可 能 预示 着 攻击 来 袭 的 异常 现象 。 所 有 这 些 功 能 必须 在 企业 考虑 差别 保护 之 前 就 位 。 


虽然 网 络 安全 的 很 多 方面 都 高 度 依靠 单个 公司 业务 、 信 息 资 产 、 技 术 策 略 的 结合 ， 但 基线 级 别 保护 更 为 标准 化 ， 因 此 ， 同 行 
为 基准 测试 基础 控制 能 让 企业 大 致 了 解 自己 是 否 实施 了 正确 级 别 的 保护 。 


例如 ， 当 一 家 制药 公司 将 其 基础 级 别 安全 措施 与 同行 作 比 较 时 ， 它 能 发 现 令 人 不 安 的 差距 。 数 十 个 网 站 缺乏 适当 的 防火 墙 保 
护 ; 数 百 应 用 程序 运行 在 过 时 、 不 安全 的 硬件 上 。 还 有 ， 很 多 业务 甚至 缺乏 最 基本 的 密码 方法 。 作 为 差别 保护 就 位 的 基础 ， 企 业 
必须 逐个 站 点 、 逐 个 业务 地 努力 弥合 基本 保护 中 的 差距 。 


J 


St 


等 信息 资产 映射 到 技术 系统 


无 论 多 么 有 创新 力 的 CISO 也 无 法 直接 针对 信息 资产 采用 技术 控制 。 对 应 用 程序 和 数据 库 等 系统 采用 差别 控制 措施 ， 包 括 更 
为 严格 的 密码 要 求 及 加 密 等 。 


这 样 ， 网 络 安全 团队 必须 与 应 用 程序 开发 团队 及 其 他 IT 利益 相关 者 合作 ， 来 识别 所 有 与 优先 级 信息 资产 有 关 的 系统 ， 这 过 程 
无 须 太 过 复杂 。 一 家 银行 中 的 IT 团队 (尤其 是 基础 设施 负责 人 、 首 席 构架 师 、 首 席 数 据 官 、 主 要 应 用 程序 所 有 者 ) ， 可 填充 一 个 
简单 的 矩阵 ， 使 得 银行 的 系统 和 应 用 程序 在 一 个 坐标 轴 中， 资产 在 另 一 个 坐标 轴 中 。 这 种 低 技术 含量 的 解决 方案 ， 比 求助 于 银行 
的 官方 资产 清单 既 更 快 又 更 有 效 ， 而 后 者 已 然 过 时 。 企 业 CIO 意 识 到 ， 百 分 之 百 的 准确 性 可 能 仍 难 掌握 ，95% 的 准确 性 足够 达到 
目的 ， 并 保持 整个 项 目的 良好 发 展 势头 ， 而 不 是 试图 将 升级 清单 作为 项 目的 一 部 分 。 


如 果 每 个 信息 资产 都 与 单一 的 应 用 程序 或 系统 有 关系 ， 那 么 IT 会 更 加 简单 。 实 际 上 ， 大 多 数 公 司 会 发 现 ， 一 些 资产 广泛 分 布 
在 整个 IT 系统 中 ， 一 些 由 内 部 管理 ， 一 些 为 供应 商 所 有 。 尤 其 是 ， 客 户 数据 往往 存储 在 几 个 系统 中 ， 包 括 中 央 客 户 数据 库 、 客 户 
关系 管理 系统 、 计 费 系 统 、 故 障 报表 系统 及 几 个 数据 仓库 中 。 而 且 ， 它 们 还 以 较 小 的 集合 被 管理 在 一 些 辅助 系统 及 用 户 设备 内 ， 
这 些 很 难 映 射 ， 甚 至 更 难 跟 踪 。 


结果 ， 网 络 安全 团队 需要 专注 于 拥有 最 重要 最 集中 的 信息 资产 的 系统 。 一 家 银行 发 现 ， 其 20% 的 应 用 程序 中 拥有 超过 80% 的 
高 优先 级 信息 资产 。 于 是 ， 该 银行 决定 注重 对 这 20% 的 应 用 程序 实施 差别 保护 。 


使 用 全 面 控制 进行 分 层 
精明 的 技术 主管 都 可 能 本 能 地 认为 ， 差 别 保护 意味 着 更 严格 的 密码 控制 、 更 广泛 使 用 加 密 处 理 ， 自 然 是 这 样 ， 但 是 ， 还 有 更 


多 选择 。 网 络 安全 团队 应 考虑 各 种 各 样 的 选择 ( 见 表 3-2) ， 这 将 帮助 他 们 防御 优先 级 信息 资产 ， 免 遭 更 广泛 的 复杂 攻击 。 


表 3-2 差别 控制 分 布 在 业务 流程 、IT 及 网 络 安全 多 方面 


控制 类 型 差别 控制 示例 
业务 流程 更 为 严格 的 认证 与 授权 要 求 
更 为 频繁 的 访问 权限 检验 


加 速 清理 

更 全 面 地 评估 供应 商 

合同 中 设置 更 为 严格 的 要 求 
限制 可 与 供应 商 共享 的 数据 
提高 审 计 供应 商 全 合 规 性 的 频率 


通过 核心 过 程 的 安 4 全 路 本 


供应 商 管理 


人 员 管 理 有 针对 性 地 监视 内 部 人 士 
有 针对 性 地 培训 
人 力 资 源 加 强 背 景 调查 及 监控 


强制 使 用 文档 管理 系统 
对 于 含有 优先 级 信息 资产 的 文件 使 用 数字 版 权 管理 (DRM) 


对 应 用 程序 开发 项 目 进行 更 深入 的 安全 审查 
提高 漏洞 扫描 及 渗透 测试 的 频率 


客户 端 安全 性 | 更 多 使 用 桌面 虚拟 化 
系统 安全 性 提高 安全 补丁 的 频率 
网 络 安全 性 使 用 更 高 安全 性 网 络 段 


更 广泛 的 IT 


差别 控制 示例 


本 多 因素 身份 认证 

身份 管理 wa 
更 严格 的 密码 政策 

动 态 加 密 

静态 加 密 


网 络 安全 


数据 保护 


数据 遗失 保护 
(DLP) 


应 急 啊 应 


针对 优先 级 信息 资产 的 DLP 规则 及 文件 标签 


更 严格 的 防火 墙 规则 
加 速 升级 
从 黑 名 单 过 渡 到 白 名 单 模 式 


终 闹 安全 


在 一 家 机 构 里 ， 资 深 !T 领 导 层 团 队 自豪 地 指出 ， 他 们 实施 了 “ 量 身 定做 ”的 控制 策略 ， 在 与 应 用 程序 相关 的 数据 敏感 性 基础 
上 ， 他 们 已 经 算出 适当 的 控制 组 合 。 在 敦促 之 下 ， 该 团队 承认 ， 大 部 分 时 候 ， 单 个 应 用 程序 所 有 者 决定 “ 量 身 定 做 ”意味 着 什 
么 ， 而 且 这 种 方法 给 整体 环境 带 来 了 相当 的 复杂 性 ， 这 也 意味 着 ， 开 发 人 员 及 系统 管理 员 必须 在 升级 应 用 程序 之 前 对 应 用 做 大 量 
调查 ， 以 确保 不 会 打破 安全 模型 中 的 任何 东西 。 


假设 公司 不 在 所 有 地 方 都 使 用 同样 类 型 的 控制 ， 当 它们 查看 在 跨 应 用 程序 中 部 署 的 控制 时 ， 公 司 经 常 发 现 相当 程度 的 随机 
性 。 一 家 工业 公司 发 现 ， 其 应 用 程序 中 严格 控制 措施 与 数据 的 敏感 性 之 间 几 乎 没有 相关 性 。 


大 多 控制 可 在 不 同 程度 上 得 到 实施 ， 安 全 级 别 或 更 严格 或 更 放松 。 举 例 来 说 ， 最 基本 的 认证 控制 就 是 简单 的 用 户 名 和 密码 ， 
下 一 级 别 是 ， 多 因素 身份 认证 引入 “你 所 知道 的 。 (密码 ) 及 “你 所 拥有 的 ” (如 和 凭证 ) 这 一 概念 。 最 复杂 的 级 别 里 ， 他 们 使 
用 “ 带 外 身份 认证 ”， 其 中 ， 密 码 可 能 仅 在 一 次 对 话 中 有 效 ， 用 户 需 使 用 额外 完全 独立 的 渠道 进行 认证 ， 比 如 发 送 文 字 信息 ( 见 
图 3-3) 。 控 制 越 严 格 ， 对 用 户 体验 及 设置 和 操作 成 本 与 维护 的 影响 就 越 大 。 网 络 安全 团队 能 帮助 企业 领导 理解 简单 构架 中 顺 次 
排列 的 控制 措施 ， 每 种 类 型 的 控制 列 出 三 四 个 级 别 的 严密 性 。 


级 别 3〈 最 严格 ) 


级 别 1 (严格 ) 


认证 “ 单一 因素 身份 认证 .多 因素 身份 认证 (“你 ”… 带 外 身份 认证 (如 文 
-用 户 名 和 密码 所 知道 的 ”和 “你 所 字 信 息 ) 
-认证 问题 拥有 的 ” ) “一 次 会 话 密码 
身份 管理 "基于 角色 权限 对 * 访问 日 志 “连接 至 HR 系统 的 自动 
用 户 访问 与 管理 " 数据 上 设置 了 对 象 级 别 取消 供应 
进行 设置 访问 政策 
终端 用 户 . 无 DLP 或 DRM 实施 DLP， 并 基于 标准 ”，. DRM 文 件 /数据 标签 
保护 程序 库 执行 及 DLP 自 定义 标签 和 
签名 
" 数据 无 加 密 * 对 终端 及 动态 数据 加 密 “ “数据 总 得 到 加 密 
数据 保护 ( 既 在 网 络 内 部 又 在 外 


部 系统 ) 


图 3-3 ”同样 的 控制 可 被 重新 调整 为 最 佳 保护 
评估 不 同 控制 组 合 


公司 CISO 及 其 团队 应 创建 可 互相 强化 的 控制 组 合 ， 控 制 组合 也 让 网 络 安全 团队 分 析 每 个 或 每 类 应 用 程序 的 总 体 安全 性 及 对 
便利 性 的 影响 。 不 同 的 控制 组 合 能 提供 同样 级 别 的 终端 保护 ， 但 是 对 用 户 体验 、 成 本 及 保养 的 影响 可 能 大 相 径 庭 。 


更 严格 的 控制 肯定 能 降低 风险 ,但 是 也 需 权衡 取舍 。 比 如， 严格 的 1&AM 控 制 能 限制 内 部 人 士 (包括 承包 商 ) 访问 优先 级 资 
产 ， 却 也 消耗 管理 者 和 用 户 的 大 量 时 间 ; DLP 工具 能 提高 偷 取 有 价值 数据 的 难度 ， 但 是 每 多 一 层 保护 都 让 日 常 登 录 多 一 些 阻力 。 


更 为 全 面 的 日 志 记 录 和 详尽 的 网 络 检查 能 更 容易 察觉 网 络 破坏 的 迹象 ， 但 是 实时 监控 会 消耗 系统 资源 、 让 应 用 程序 变 慢 。 虽 
然 在 招聘 前 进行 更 为 全 面 的 背景 调查 可 大 幅 减少 内 部 人 士 带 来 的 风险 ， 但 这 样 会 增加 成 本 、 放 缓 招聘 程序 。 这 样 ， 势 在 必 行 的 
是 ， 要 有 适当 的 控制 ， 能 在 需要 的 地 方 提供 保护 ， 而 不 对 用 户 体验 产生 较 大 破坏 。 


一 家 制造 企业 需要 提高 对 带 有 有 价值 IP 的 应 用 程序 的 保护 ， 于 是 安全 团队 与 业务 领导 们 、 应 用 程序 所 有 者 举行 了 一 系列 研讨 
会 ， 讨 论 他 们 认为 哪些 类 型 控制 对 相关 资产 保护 是 理想 的 、 如 何在 不 同 层级 合作 。 经 过 讨论 ， 他 们 达成 共识 ， 鉴 于 企业 面临 的 攻 
击 者 的 水 平 之 高 、 攻 击 之 复杂 ， 简 单 安装 更 好 的 防火 墙 可 能 已 不 足够 。 


相反 ， 该 公司 查看 一 系列 可 相互 协作 的 控制 ， 帮 助 公司 理解 、 防 止 某 些 类 型 的 损失 ， 同 时 给 员工 造成 相对 最 小 的 影响 。 他 们 
增加 对 多 因素 身份 认证 的 使 用 ， 提 高 日 志保 持 和 分 析 级 别 ， 并 引进 新 的 数字 丢失 保护 软件 。 员 工 已 经 有 了 门禁 卡 ， 使 用 这 些 作为 
数字 身份 验证 方法 意味 着 无 须 分 配 和 管理 一 套 新 的 安全 设备 。 由 于 大 部 分 访客 在 现场 (on-site) 不 止 一 次 ， 因 此 登记 他 们 的 计 
算 机 的 努力 终 会 得 到 好 的 结果 。 该 公司 团队 甚至 解决 补丁 制度 (修复 已 知 漏洞 的 过 程 ) ， 这 本 质 上 是 任意 性 的 ， 但 现在 已 是 受到 
企业 欢迎 的 基于 风险 的 方法 。 尽 早 评估 这 些 取舍 、 平 衡 ， 特 别 注重 终端 用 户 体验 ， 可 让 用 户 更 容易 接受 新 的 保护 模式 。 


在 实践 中 为 优先 级 信息 资产 提供 有 针对 性 的 保护 
将 优先 级 信息 资产 与 商业 风险 匹配 ， 利 用 它们 实施 一 套 差别 保护 措施 ， 这 从 概念 上 听 上 去 很 简单 ， 但 是 需要 实 实在 在 的 努力 
和 制定 相关 规则 


想象 一 下 ， 一 家 中 等 规模 的 汽车 零 部 件 供应 商 在 面 对 一 次 小 的 网 络 破坏 时 ， 他 们 意识 到 必须 更 加 理解 网 络 安全 ， 让 保护 措施 
针对 这 些 而 实施 。 基 于 我 们 所 描述 过 的 工具 和 手段 ， 该 公司 可 实践 由 三 个 阶段 组 成 的 过 程 : 准备 工作 与 数据 收集 、 评 佑 风险 和 资 
产 、 确 定 并 实施 差别 保护 。 


第 一 阶段 : 准备 工作 与 数据 收集 
企业 CIO 及 CISO 要 利用 准备 阶段 让 企业 具备 所 有 成 功 的 先决 条 件 。CIO 要 确保 在 此 期 间 有 公司 高 层 领导 的 支持 ， 与 每 个 负责 
主要 业务 部 门 的 管理 者 一 起 坐 下 来 讨论 ， 促 进 功能 起 作用 、 解 释 自己 的 努力 、 获 取 需 要 面谈 者 的 信息 、 询 问 每 个 领域 的 联络 点 。 


在 较 大 型 公司 里 ，CIO 和 CISO 可 能 会 从 一 两 个 试点 业务 入 手 ， 这 样 他 们 可 以 展示 进度 ， 改 进 方法 ， 然 后 再 接着 处 理 下 一 个 
业务 。 不 过 ,这 种 情况 下 ，CIO 和 CISO 都 认为 ， 企 业 的 适度 规模 及 简单 的 业务 模型 让 他 们 尝试 一 次 便 可 覆盖 整个 公司 。 


ClO 也 会 自己 召集 工作 组 ， 与 CISO、 每 个 业务 产品 线 及 职能 部 门 的 代表 一 起 ， 确 保 数 据 访问 、 检 查 进 度 、 审 查分 析 、 提 供 
建议 。 同 时 ，CISO 会 与 每 个 业务 部 门 的 C10 及 其 团队 合作 ， 汇 集 所 有 所 需 数据 ， 尤 其 是 每 个 业务 中 的 应 用 程序 目录 以 及 支持 过 


程 中 的 任何 可 用 信息 、 风 险 分 类 及 技术 配置 。 


第 二 阶段 : 评估 风险 和 资产 


CISO 及 其 团队 会 利用 这 一 阶段 来 获取 和 优先 考虑 一 整套 信息 资产 及 商业 风险 。 


第 一 步 : 在 价值 链 中 识别 资产 


该 团队 的 首 个 任务 是 找到 关键 的 信息 资产 。 他 们 要 沿 着 价值 链 (产品 开发 、 市 场 营 销 、 销 售 、 售 后 服务 ) 查看 相关 业务 过 
程 ， 在 每 一 步 中 对 重要 信息 资产 开发 一 套 假设 ， 这 时 ，CISO 要 和 每 个 业务 领域 的 高 层 管理 者 一 起 坐 下 来 讨论 ， 而 不 是 仪 询 问 是 
什么 使 他 们 夜 不 能 窒 ，CISO 要 检验 其 团队 的 假设 ,利用 它们 更 好 地 理解 哪些 信息 资产 可 能 最 重要 。 


举例 来 说 ， 销 售 负责 人 会 这 样 解释 ， 其 公司 从 汽车 制造 商 客户 处 得 到 较为 敏感 的 预测 和 技术 参数 ， 作 为 投标 以 支持 正在 研发 
的 新 车 子 系统 的 一 部 分 。 如 果 制 造 商 认为 这 样 的 信息 可 能 被 破坏 ， 那 么 从 商业 角度 来 讲 ， 对 供应 商 的 影响 会 是 毁灭 性 的 。 相 比 之 
下 ， 已 经 投产 的 模型 的 销售 预测 会 少 些 敏 感度 ， 因 为 竞争 对 手 可 能 已 经 从 现 有 公开 可 用 的 推测 中 做 了 预测 。 


第 二 步 : 分 析 风 险 、 优 先 级 资产 


此 时 ， 企 业 应 该 有 了 信息 资产 的 详细 清单 ， 但 还 不 了 解 风险 。 基 于 他 们 与 业务 部 门 领导 的 讨论 ，CISO 及 其 团队 应 考虑 ， 每 
个 信息 资产 若 遭 到 破坏 ， 对 机 密 性 、 完 整 性 及 可 用 性 的 影响 几何 。 他 们 要 依据 竞争 性 不 利 因素 、 客 户 影响 、 声 誉 影响 、 欺 诈 损 
失 、 监 管 风 险 和 法 律 风险 角度 ， 给 每 个 破坏 和 资产 组 合 打分 ， 这 其 中 要 考虑 如 潜在 产品 经 济 及 竞争 压力 等 问题 例如， 支撑 边际 
产品 的 IP 若 丢失 ， 产 生 的 影响 会 较 低 ) 。 


现在 ， 他 们 会 站 在 攻击 者 的 角度 党 试 理 解 谁 会 在 破坏 重要 信息 资产 中 获 益 ， 获 益 者 是 否 有 动机 和 能 力 来 对 获取 到 的 任何 信息 
采取 后 续 行 动 。 传 统 上 讲 ， 知 道 一 家 公司 的 制造 过 程 会 让 竞争 对 手 获 益 ， 不 过 现在 ,管理 者 不 太 愿 意 冒 着 毁 掉 自己 的 职业 、 痰 失 
自由 的 风险 ， 来 利用 这 样 的 信息 。 一 个 新 的 市 场 参与 者 可 能 较 少 担心 法 律 后 果 ， 但 可 能 缺乏 利用 尖端 制造 技术 的 专业 知识 。 
CISO 及 其 团队 也 知道 ， 不 是 所 有 攻击 者 都 来 自 外 部 ， 并 且 内 部 人 士 通常 在 离开 原 公司 到 竞争 对 手 公 司 工 作 前 会 带 走 敏感 的 产品 
和 定价 信息 ， 这 些 也 是 要 考虑 的 问题 。 该 团队 需要 转换 视角 ， 要 以 更 高 水 平 的 视角 来 看 目前 水 平 的 风险 。 对 于 每 项 资产 来 说 ,他 
们 也 要 审视 有 多 少 人 访问 它 、 是 否 已 成 为 更 严格 控制 的 对 象 。 


基于 此 分 析 及 一 套 结构 化 的 标准 ， 现 在 ， 该 团队 已 确定 了 信息 资产 的 优先 级 列表 。 这 些 资产 可 能 被 分 为 几 个 类 别 ， 比 如 顶尖 
业务 、 受 限 数据 、 基 线 数据 、 公 共 数 据 ， 也 可 依据 业务 影响 和 可 能 性 合成 一 份 商业 风险 优先 级 列表 ， 在 与 业务 领导 沟通 的 时 候 ， 
这 些 发 现 将 是 宝贵 资源 。CISO 及 其 团队 会 举行 一 次 或 多 次 研讨 会 ， 与 业务 领导 一 道 检验 这 些 发 现 ， 如 有 不 妥 处 便 变 更 风险 与 信 
息 资产 的 优先 级 顺序 。 


第 三 阶段 : 确定 并 实施 差别 保护 


第 一 步 : 评估 目前 级 别 的 保护 措施 


CISO 及 其 团队 不 能 直接 对 信息 资产 实施 保护 措施 ， 他 们 需要 决定 哪些 系统 上 带 有 优先 级 资产 、 目 前 已 经 实施 的 保护 措施 有 
哪些 。 


首先 ， 对 于 每 个 主要 控制 类 型 确定 三 四 个 严密 性 级 别 ， 主 要 控制 包括 1&AM、 数 据 保 护 、DLP 及 DRM、 应 用 安全 、 基 础 设 
施 安全 、 网 络 安 全 、 供 应 商 管理 等 。 然 后 ， 该 团队 可 以 发 起 对 应 用 程序 研发 管理 者 的 调查 ， 请 他 们 将 优先 级 信息 资产 映射 到 系统 
上 ， 给 每 个 系统 按照 所 应 用 的 控制 类 型 严密 性 进行 打分 。 


这 有 助 于 CISO 解 决 一 些 重要 问题 ， 诸 如 : 


:每 种 控制 的 严密 性 如 何 ( 比 如 ， 大 多 应 用 程序 使 用 单 因素 还 是 双 因 素 身份 认证 ? ) 
最 重要 的 信息 资产 是 否 受到 了 更 严密 的 控制 ? 


.是 什么 推动 了 对 控制 措施 的 选择 一 是 否 有 这 样 的 情况 : 不管 系统 上 是 否 有 最 敏感 的 信息 资产 都 使 用 更 为 严密 的 控制 ? 


第 二 步 : 确定 未 来 的 保护 措施 级 别 

哪怕 只 有 六 个 控制 领域 ,分 为 四 个 严密 性 级 别 ， 也 有 超过 4000 种 不 同 的 控制 组 合 。 因 此 CISO 及 其 团队 需要 创建 控制 包 。 

首先 ， 如 果 想 要 简单 一 些 ， 可 为 顶尖 业务 (公司 最 为 重要 的 信息 资产 ) 确定 一 个 控制 包 ， 受 限 信 息 、 基 线 数据 、 公 共 或 次 要 
数据 各 一 个 控制 包 。 然 而 ， 对 于 每 组 结构 化 的 数据 (如 数据 库 中 找到 的 客户 订购 历史 及 其 他 信息 ) 以 及 非 结构 化 数据 (如 存储 在 
文档 中 的 建议 等 数据 ) ， 实 施 的 控制 包 可 能 要 根据 不 同情 况 而 存在 差异 。CISO 会 尽 可 能 地 利用 现 有 的 技术 和 能 力 来 确定 控制 
包 ， 不 过 ， 也 要 根据 所 需 而 利用 一 些 新 的 技能 (如 带 外 身份 认证 ) 。 在 这 些 情 况 下 ， 都 需要 该 团队 评估 每 个 控制 包 的 效力 ， 确 保 
在 降低 风险 的 情况 下 ， 任 何 额 外 的 用 户 体验 影响 都 是 合乎 情理 的 ， 然 后 ， 利 用 焦点 小 组 、 演 示 等 方法 来 进行 验证 。 


最 后 ，CISO 及 其 团队 要 利用 信息 资产 分 类 及 将 信息 资产 映射 到 系统 ， 来 确定 哪些 控制 包 该 应 用 到 哪个 系统 上 。 
第 三 步 : 过 渡 到 实施 


首先 ，CISO 一 旦 确定 了 保护 措施 的 理想 水 平 ， 其 团队 需 评估 他 们 及 其 他 人 该 如 何 实施 来 让 这 些 控 制 到 位 。 某 些 情 况 下 ， 改 
变 是 简单 的 政策 或 过 程 改变 一 一 处 理 某 种 类 型 的 信息 资产 的 供应 商 将 需要 更 全 面 的 评估 ， 带 有 每 种 类 型 的 信息 资产 的 应 用 程序 
的 密码 将 更 频繁 地 改变 。 


而 很 多 时 候 ， 企 业已 经 有 了 底层 安全 能 力 ， 但 是 ， 该 公司 的 系统 需要 作 调 整 以 运用 这 些 能 力 。 比 如 ， 企 业 可 能 有 支持 多 因素 
身份 认证 的 工具 ， 但 是 很 多 系统 都 需要 升级 才能 使 用 企业 的 最 新 |&AM 平 台 . 


有 时 ， 可 能 需要 CISO 启 动 或 加 速 采用 新 技术 或 功能 。 例 如 ， 企 业 可 能 需要 实施 DRM 以 控制 谁 能 访问 带 有 诸如 产品 路 线 图 、 
制造 说 明 等 信息 的 文件 ， 这 样 ， 该 团队 要 将 所 有 执行 实施 活动 添加 到 未 来 几 年 以 及 很 多 合作 部 门 的 工作 计划 中 去 。 


最 后 ，CISO 及 其 团队 要 确保 区 分 信息 资产 优先 级 及 实施 差别 控制 有 文档 化 的 方法 ， 以 便 可 以 轻松 重复 过 程 ， 反 映 出 变化 中 
的 商业 条 件 、 演 化 中 的 攻击 者 环境 、 防 御 机 制 中 的 新 创新 。 


所 有 公司 ， 不 论 其 规模 大 小 、 技 术 水 平 高 低 ， 都 拥有 很 多 不 同类 型 的 信息 资产 ， 面 临 着 诸多 扑朔迷离 的 商业 风险 。 没 有 哪 家 
公司 可 以 很 有 效 地 对 资产 进行 全 盘 保 护 ， 尤 其 是 在 花费 不 高 、 对 业务 影响 可 接受 的 情况 下 更 是 如 此 。 

于 是 ， 企 业 需要 优先 考虑 一 些 事情 。 它 们 需要 理解 最 重要 的 信息 资产 及 面 对 的 最 严峻 的 商业 风险 ， 洞 悉 这 些 以 后 ， 实 施 更 为 
严密 的 商业 流程 、 更 广泛 的 IT 及 网 络 安全 控制 ， 保 护 至 天 重要 的 信息 资产 。 

这 并 非 一 次 便 可 完成 的 事情 。 随 着 商业 模型 的 改变 ， 也 造就 了 新 类 型 的 信息 资产 。 随 着 攻击 者 水 平 提高 ， 也 造就 了 新 的 风 
险 ， 提 高 了 旧 有 的 风险 ， 同 时 ， 现 代 化 的 网 络 安全 也 在 进化 ， 给 企业 实施 差别 控制 提供 了 更 多 选择 。 

这 样 ， 企 业 要 实施 可 复 验 、 结 构 化 的 过 程 ， 这 样 的 过 程 允许 网 络 安全 团队 与 业务 领导 一 道 努力 发 现 重要 的 信息 资产 ， 给 商业 
风险 区 分 优先 级 、 匹 配 以 差别 保护 。 而 且 ， 这 些 过 程 应 是 年 度 网 络 安 全 预算 和 计划 的 重要 投入 。 

高 层 业务 领导 的 参与 和 批准 将 是 必 不 可 少 的 。CEO 必 须 设置 对 风险 承受 度 的 总 体 期 望 ， 同 时 ， 业 务 部 门 高 管 必 须 参 与 识别 
舍 息 资产 、 评 佑 商业 风险 并 确认 风险 、 成 本 及 差别 保护 选择 的 商业 影响 之 间 的 取舍 与 平衡 。 


第 4 章 ”以 数字 化 适应 力 方式 经 营 生 意 


大 多 组 织 机 构 都 认为 网 络 安全 是 技术 方面 的 责任 ,至少 从 某 种 程度 上 说 是 这 样 的 。 网 络 安全 解决 数字 化 形式 信息 面临 的 风 
险 ， 公 司 能 用 来 保护 自己 的 信息 资产 的 很 多 方式 确实 是 技术 性 的 ， 形 式 要 么 为 安全 控制 ， 要 么 是 改进 广泛 的 IT 环境 。 


然而 ， 要 实现 数字 化 适应 力 需 要 的 不 仅仅 是 技术 方面 的 改变 。 如 第 3 章 所 述 ， 业 务 流程 的 改变 在 保护 重要 信息 资产 中 有 着 巨 
大 的 影响 。 两 个 方法 尤其 为 推动 IT 部 门 之 外 的 改变 指明 了 道路 : 将 网 络 安全 整合 至 整个 企业 范围 的 风险 管理 及 治理 过 程 ， 让 一 线 
员工 参与 保护 他 们 所 使 用 的 信息 资产 。 


由 于 每 个 业务 职能 部 门 的 领导 会 做 出 无 数 个 影响 公司 受到 网 络 攻击 的 决策 ， 因 此 ， 第 一 个 方法 要 求 几乎 每 一 个 业务 职能 部 门 
的 领导 在 他 们 做 决策 的 时 候 都 考虑 保护 信息 资产 。 


即便 不 是 全 部 ， 也 会 有 大 部 分 决策 涉及 权衡 接受 某 些 形式 的 业务 风险 并 促进 业务 目标 。 公 司 不 能 用 规定 和 命令 来 强迫 高 管 们 
考虑 网 络 安全 因素 ， 而 是 既 要 帮助 他 们 理解 所 采取 的 措施 会 面临 的 风险 影响 ， 又 要 让 他 们 接受 作为 公司 信息 资产 管 任 
如 同 对 待 公司 的 金融 资产 一 样 对 待 信息 资产 。 


第 二 个 方法 促进 上 至 高 管 下 到 一 线 员工 的 心态 、 思 维 方式 转变 。 每 天 、 每 个 访问 电脑 、 笔 记 本 或 移动 设备 的 员工 ， 都 有 可 能 
因为 点 击 了 错误 的 网 页 或 将 邮件 发 给 错误 的 地 址 而 给 公司 带 来 风险 。 公 司 需要 帮助 一 线 员工 理解 自己 每 天 都 接触 的 信息 资产 所 具 
有 的 价值 ， 实 施 一 系列 机 制 来 鼓励 、 促 进 他 们 负责 任 地 与 公司 技术 环境 相互 作用 。 


要 想 以 数字 化 适应 力 的 方式 经 营 企业 ， 诸 多 职能 部 门 的 高 管 将 需要 提供 持续 的 支持 ， 促 成 管理 者 与 一 线 员 工 广泛 的 行为 变 
化 。 


在 所 有 业务 过 程 中 构建 数字 化 适应 力 


网 络 安全 是 与 企业 机 构 内 几乎 所 有 主要 的 业务 过 程 交织 在 一 起 的 。 如 在 我 们 指定 优先 级 信息 资产 时 候 所 见 ， 几 乎 所 有 业务 过 
程 的 每 一 步 又 都 使 用 敏感 数据 ， 每 一 个 网 络 安全 政策 都 对 职能 部 门 如何 从 事 核 心 业务 的 过 程 产生 一 些 约束 ， 如 市 场 营 销 、 业 务 操 
作 、 产 品 开发 等 。 


不 笠 的 是 ， 一 方面 ， 网 络 安全 团队 与 很 多 业务 部 门 之 间 的 协作 紧密 程度 比 应 有 的 要 低 。 业 务 部 门 管理 者 将 网 络 安全 视 为 
clISO 或 CIO 的 责任 ， 另 一 方面 ， 网 络 安全 管理 者 因 其 专业 技术 能 力 而 受到 提拔 和 晋升 ， 而 不 是 因为 他 们 有 与 企业 领导 们 合作 的 
能 力 。 结 果 ， 业 务 部 门 做 出 的 涉及 产品 设计 、 客 户 互 动 、 与 供应 商 的 合同 等 的 决定 会 将 重要 的 信息 资产 置 于 不 必要 的 风险 下 ， 同 
时 ， 网 络 安全 政策 会 影响 客户 体验 ， 或 损害 公司 与 供应 商 的 谈判 立场 。 


为 实现 数字 化 适应 力 ， 公 司 必须 创造 一 个 环境 ， 让 网 络 安全 团队 与 每 个 重要 业务 职能 部 门 (产品 开发 、 市 场 营销 与 销售 、 供 
应 链 、 公 司 事务 部 、HR、 风 险 管理 ) 之 间 交 流 与 合作 得 更 加 紧密 ， 这 样 ， 促 使 管理 者 在 做 决定 的 时 候 ， 权 衡 好 保护 信息 资产 与 
高 效 且 有 效 地 运作 关键 业务 过 程 。 
产品 开发 与 管理 


银行 的 客户 与 医院 的 患者 都 期 望 个 人 数据 免 遭 偷盗 ， 这 是 合理 的 期 待 。 他 们 也 希望 能 在 线 访问 自己 的 信息 ， 方 便 且 不 烦琐 。 


医院 方面 希望 ， 在 不 产生 新 的 安全 漏洞 或 迫使 医护 人 员 学 习 复 杂 协 议 的 情况 下 ， 能 将 医疗 设备 连接 整合 进 手 术 室 。 然 而 ， 这 些 矛 
盾 将 一 如 既往 地 加 深 一 一 越 来 越 多 的 公司 创建 与 客户 之 间 日 益 丰富 的 数字 化 连接 ， 物 联网 让 网 络 连接 的 产品 变 得 更 为 广泛 。 


于 是 ， 不 足 为 奇 的 是 ， 网 络 安全 问题 在 产品 的 价值 主张 中 日 益 重要 。 在 做 购买 决定 时 ， 和 零售 和 企业 买 家 都 会 思考 安全 问题 ， 
尤其 是 在 敏感 的 产业 ， 有 关 遭 受 网络 破 坏 的 媒体 负面 报道 ， 不 仅 会 损害 生产 企业 的 声誉 ， 也 会 损害 供应 商 、 代 理 商 或 顾问 公司 的 
声誉 。 当 然 ， 在 做 购买 决定 时 ， 客 户 体验 也 高 度 重要 ， 而 网 络 安全 会 对 客户 体验 产生 较 大 影响 。 在 产品 开发 阶段 既 保 证 安全 性 又 
提供 良好 的 客户 体验 的 能 力 ， 越 来 越 能 给 公司 带 来 竞争 优势 ， 不 过 ， 这 需要 产品 开发 和 网 络 安全 团队 都 有 思维 方式 上 的 转变 。 


了 解 客户 的 偏好 及 对 客户 体验 的 影响 


公司 必须 了 解 客户 对 数据 保密 性 、 便 利 性 的 重视 程度 ， 以 及 他 们 如 何在 两 者 间 权 衡 取舍 。 如 果 数 据 处 于 风险 之 中 ， 没 有 针对 
网 络 攻击 的 保护 措施 ， 那 么 客户 反响 很 可 能 没 那 么 好 ， 但 是 ， 如 果 公司 所 设置 的 所 有 管理 风险 的 控制 让 他 们 的 体验 很 痛苦 ， 那 么 
他 们 也 可 能 抛 亩 该 公司 的 产品 。 民 意 调 查 、 焦 点 小 组 等 标准 客户 研究 方法 有 助 于 公司 了 解 客户 的 痛 半 ， 企 业 可 观察 客户 的 行为 、 
对 不 同 实验 方法 、 控 制 组 合 的 反应 ， 同 样 的 方法 也 可 以 测试 其 他 非 安 全 性 特征 。 


网 络 经 纪 人 可 衡量 客户 平均 要 用 多 久 才 能 在 网 站 上 完成 各 种 任务 ， 接 着 ， 在 附加 时 间 的 基础 上 评估 将 添加 到 重要 的 客户 活动 
中 的 新 安全 控制 ， 时 间 以 秒 来 计算 。 这 些 额外 的 延迟 成 为 设计 和 发 布 决定 的 一 部 分 ， 其 中 ， 业 务 部 门 积极 参与 在 客户 体验 和 安全 
风险 两 者 间 进 行 权衡 。 如 果 某 一 特定 的 控制 措施 显著 地 损害 了 客户 体验 ， 那 么 企业 要 么 决定 用 更 多 时 间 来 完善 控制 、 改 善 体验 ， 
延迟 或 取消 需要 新 控制 的 特征 ， 要 么 签字 同意 接受 额外 的 剩余 风险 。 银 行 已 经 了 解 到 ， 客 户 会 认为 额外 的 身份 认证 层 有 着 积极 的 
作用 。 一 家 机 构 试 图 通过 用 设备 识别 替换 个 人 识别 号 码 (PIN) 来 提升 客户 体验 ， 这 样 ， 在 客户 从 自己 的 笔记 本 或 智能 手机 登录 
的 时 候 就 不 必用 PIN。 这 时 ， 实 际 上 ， 客 户 并 没有 欣赏 其 方便 性 ， 而 是 因为 担忧 安全 性 受到 破坏 而 联系 银行 。 结 果 ， 银 行 重新 设 
立 了 PIN 过 程 。 


在 企业 对 企业 (B2B) 的 商务 市 场 ， 没 那么 正式 的 方法 会 是 有 效 的 一 通常， 定期 与 客户 沟通 时 ， 这 已 经 足够 。 在 一 些 公司 
里 ， 与 客户 的 IT 安全 团队 间 的 非 正式 沟通 能 提供 一 些 宝贵 的 见解 一 了解 到 客户 越 来 越 期 望 自己 的 数据 是 受 保护 的 ， 并 且 这 些 期 
望 如 何 转化 为 即将 到 来 的 请 求 建议 书 (RFP) 中 的 条 件 和 条 款 或 决策 标准 。 


将 网 络 安全 花费 和 考虑 融合 进 商业 业务 案例 


新 产品 往往 会 产生 新 型 的 数据 或 与 客户 互动 的 新 方式 ， 这 反 过 来 也 会 产生 新 的 漏洞 。 这 样 ， 网 络 安全 团队 需要 确保 在 新 产品 
发 布 之 前 就 有 投入 和 参与 ， 更 为 理想 的 是 在 产品 开发 周期 就 有 参与 ， 以 防 浪费 或 误 用 资源 。 一 家 金融 信息 服务 供应 商 的 网 络 安 全 
团队 负责 人 ， 在 完全 理解 了 要 保证 与 该 产品 相关 的 信息 资产 安全 的 人 花费 之 前 ， 简 单 地 拒绝 批准 新 产品 的 商业 讨论 。 很 幸运 他 有 这 
种 能 力 ， 不 是 所 有 CISO 都 有 有 效 的 否决 权 ， 但 是 公司 的 高 级 管理 层 知 道 公司 服务 的 安全 性 的 重要 性 ， 因 此 他 们 强烈 支持 这 个 需 
求 。 在 将 来 某 个 时 候 ， 他 们 不 希望 遇 到 不 愉快 以 及 代价 高 昂 的 “惊喜 ”， 他 们 想 要 确保 客户 对 安全 性 有 足够 的 信心 。 


在 产品 开发 过 程 中 构建 安全 性 


IT 和 产品 间 的 重 玛 在 稳步 增加 ， 甚 至 在 更 多 传统 行业 中 也 是 如 此 。 本 质 上 说 ， 医 疗 诊断 工具 是 连 入 网 络 的 计算 设备 ， 其 包装 
盒 上 有 医疗 保健 标志 ， 而 非 技术 供应 商 的 标志 。 新 车 可 有 多 达 1 亿 行 代码 1; 甚至 恒温 控制 器 也 连接 互联 网 ; 不 幸 的 是 ， 组 织 结 
构 没有 产品 特征 的 变化 那么 快 。 在 很 多 公司 里 存在 机 构 简 仓 (silo) ， 简 仓 将 从 事 新 业务 产品 的 信息 技术 专家 与 核心 IT 团队 的 专 
家 分 开 ， 结 果 ， 就 联网 产品 与 用 于 管理 和 支持 的 !T 应 用 程序 中 的 风险 和 漏洞 ， 它 们 之 间 更 难 取得 端 到 端 视 图 。 这 增加 了 攻击 者 偷 
取 客 户 敏感 信息 或 破坏 业务 过 程 的 风险 。 


公司 需要 在 业务 产品 的 网 络 安全 方面 提高 专注 度 ， 构 建 产品 设计 与 企业 网 络 安全 团队 间 的 联系 。 一 家 工业 公司 为 产品 安全 任 
命 了 小 组 负责 人 ， 确 保 每 个 业务 都 有 一 名 产品 安全 负责 人 ， 给 产品 和 企业 网 络 安全 团队 创建 论坛 ， 以 协作 评估 风险 和 指定 优先 级 
改 方案 。 


i 


产品 开发 过 程 与 |P 风 险 相 匹 配 


一 般 地 ， 产 品 开发 与 R&D 团队 处 理 一 家 公司 最 为 敏感 的 |P 一 一 如 果 这 些 落 入 坏人 之 手 ， 就 会 产生 毁灭 性 的 破坏 。 然 而 ， 对 


信息 流 实 施 太 多 的 限制 会 放 慢 创新 步伐 ， 让 研发 过 程 延 后 几 个 月 ， 如 果 竞 争 对 手 率先 发 布 产品 了 ， 这 也 是 毁灭 性 的 打击 。 在 某 些 
行业 ， 诸 如 外 包 合 同 电子 制造 业 ， 我 们 看 到 ， 公 司 基于 对 风险 的 更 好 理解 而 调整 业务 流程 和 风险 偏好 。 一 家 产品 生命 周期 较 短 的 


司 接受 与 信息 更 自由 流动 相关 的 风险 ， 以 保持 快速 上 市 时 间 ， 而 另 一 家 公司 ， 其 产品 生命 周期 不 是 以 月 而 是 以 年 来 计算 的 ， 于 
它们 决定 加 强 安全 控制 来 降低 敏感 计划 泄露 给 竞争 对 手 的 风险 。 两 家 公司 的 最 终结 果 是 不 同 的 ， 但 两 者 的 共同 之 处 是 以 跨 职能 
部 门 的 方法 来 平衡 对 速度 、 协 作 与 安全 的 竞争 要 求 。 
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销售 与 市 场 营 销 


比 起 B2B， 对 于 消费 品行 业 来 说 ， 网 络 安全 与 销售 和 市 场 营 销 部 门 的 关系 更 为 简单 。 公 司 不 愿 在 面 对 消 费 者 的 营销 活动 中 对 
隐私 和 安全 问题 太 声 张 ， 这 部 分 原因 是 ， 那 样 会 提高 客户 对 风险 的 意识 ， 而 大 多 公司 更 乐意 客户 忘记 这 件 事 。 而 且 ， 在 这 个 话题 
上 ,在 公众 中 太 高 调 的话 会 是 个 风险 ， 黑客 可 能 就 此 发 起 挑战 、 更 加 努力 地 破坏 。 然 而 ， 由 于 客户 的 日 益 关注 ， 网 络 安全 部 门 与 
消费 者 营销 部 门 的 协作 至 关 重 要 。 例 如 ， 我 们 看 到 大 量 客 户 开 始 向 财富 管理 服务 商 询 问 有 关 财 务 数据 安全 性 的 问题 ， 这 就 意味 
着 ，CISO 能 为 财务 顾问 提供 准确 的 信息 ， 解 释 和 强调 防范 措施 ， 且 不 做 出 不 切实 际 的 承诺 。 


相 比 之 下 ，B2B 市 场 上 的 供应 商 和 客户 越 来 越 坦率 地 讨论 数据 安全 作为 销售 和 承包 过 程 的 一 部 分 。 客 户 想 要 知道 他 们 的 数据 
如 何 得 到 保护 、 承 担 怎样 的 风险 、 供 应 商 提供 什么 保证 。 结 果 ， 企 业 公 司 开始 采取 措施 既 保护 自身 ， 又 防止 网 络 安 全 问题 演变 成 
自己 的 竞争 务 势 。 当 然 ， 这 是 双向 的 : 在 选择 供应 商 时 ， 企 业 客户 将 安全 视 为 主要 购买 因素 ， 供 应 商 通 过 增加 在 安全 方面 的 投资 
及 强调 自己 可 提供 什么 措施 来 回应 。 


解释 安全 功能 ,支持 销售 团队 


一 般 来 说 ， 只 有 CISO 的 团队 能 有 效 地 阐释 公司 在 保护 客户 数据 上 的 尽职 尽责 ， 原 因 是， 对 于 非 专家 来 说， 这 方面 话题 和 用 
语 很 星 深 难 懂 ， 无 法 容易 掌握 ， 不 过 ， 这 就 意味 着 公司 要 确保 网 络 安 全 团队 有 了 时间 给 销售 团队 提供 相关 支持 。 网 络 安 全 团队 也 很 
可 能 需要 指导 ， 以 在 有 需求 的 客户 面前 更 有 效 地 完成 任务 ， 毕 竟 ， 雇 用 网 络 安全 专家 时 看 的 不 是 其 销售 能 力 。 我 们 认识 一 位 医疗 
保险 业 的 CISO， 他 有 1/3 的 时 间 都 是 在 从 事 销售 活动 ， 自 然而 然 地 ， 这 对 安全 与 业务 整体 关系 上 有 积极 的 作用 。CISO 帮 助 销售 
团队 赢得 订单 ， 而 不 是 阻挡 他 们 获取 商机 。 公 司 还 必须 确保 ， 销 售 团队 在 需要 解决 客户 要 求 和 担忧 时 ， 知 道 求助 于 CISO 及 其 团 
队 的 重要 性 。 


针对 合同 中 可 包含 的 保证 ， 树 立 明确 的 指导 方针 


随 着 人 们 对 网 络 安全 担忧 的 增加 ， 在 责任 、 查 阅 权 或 处 理 敏 感 数据 过 程 方面 ， 企 业 客 户 会 对 供应 商 提出 越 来 越 多 的 要 求 。 一 
家 保险 公司 收 到 来 自 其 最 大 客户 之 一 的 要 求 ， 客 户 要 在 承包 后 清洗 掉 几 乎 所 有 数据 ， 这 是 不 可 能 完成 的 要 求 ， 因 为 在 某 些 地 区 ， 
监管 者 要 求 保险 公司 保存 数据 数 年 。 因 此 ， 供 应 商 要 清楚 知道 ， 协 商 开 始 前 ， 在 合同 中 愿意 (和 能 ) 做 出 什么 承诺 。 


很 多 商业 合同 谈判 往往 会 在 讨论 无 限 责 任 时 陷入 困境 。 客 户 想 要 供应 商 承 担 由 其 引起 的 任何 网 络 破坏 所 产生 的 经 济 影响 的 无 
限 经 济 责任 ， 供 应 商 自 然 不 愿 同 意 。 随 着 网 络 安全 市 场 变 得 成 熟 ， 一 些 供应 商 正 考 虑 为 这 些 风 险 购 买 保 险 一 一 按照 客户 要 求 ， 
然后 在 交易 中 清楚 地 显示 保险 费用 ， 让 客户 承担 保费 (本 书后 面 章节 中 也 会 讨论 新 生 的 网 络 风 险 保险 市 场 ) 。 这 样 可 简化 任何 破 
坏 的 责任 ， 也 给 供应 商 和 客户 澄清 了 直接 的 经 济 影响 。 


公司 必须 在 育 人 上 投资 ， 让 销售 团队 、 采 购 组 、 法 务 人 员 了 解 所 有 安全 与 合 规 性 要 求 ， 并 决定 何 时 应 求助 于 更 多 专业 文 持 。 


从 订单 采集 到 客户 服务 及 开 账单 ， 操 作 流程 中 必然 会 涉及 公司 掌握 的 一 些 最 敏感 的 客户 信息 。 此 外 ， 随 着 越 来 越 多 联网 设备 
进入 核心 服务 交付 流程 ， 提 升 了 出 现 网 络 攻 击 干扰 和 破坏 的 可 能 性 。 数 字 化 适应 力 将 要 求 公 司 ， 在 时 刻 考 虑 网 络 安全 因素 的 前 提 
下 设计 出 核心 业务 流程 ， 并 确保 具备 管理 联网 设备 风险 的 机 制 。 


重新 设计 核心 流程 ， 减 少 商业 风险 


降低 网 络 安全 风险 带 来 的 业务 流程 的 最 大 变化 之 一 ， 即 为 清除 敏感 但 不 必要 信息 ， 进 而 在 彻底 “须知 ”分 析 基 础 上 进行 分 段 
交互 。 一 家 财产 和 意外 保险 公司 持 有 这 样 的 心态 ， 它 们 正 分 离 出 与 高 可 见 度 诉讼 相关 的 索赔 ， 这 样 只 有 得 到 良好 培训 和 最 受信 任 
的 索赔 代理 人 去 处 理 这 些 案件 。 昌 然 ， 这 意味 着 会 有 更 少 的 代理 人 处 理 索赔 案件 ， 不 过 ， 与 这 种 灵活 性 的 减少 构成 平衡 的 是 ， 处 
理 最 为 敏感 的 案件 会 产生 的 风险 降低 了 。 同 样 ， 一 家 航空 航天 制造 企业 ， 基 于 工程 的 敏感 度 对 设计 团队 进行 分 割 ， 这 样 让 组 内 协 
作 变 得 无 拘 无 束 ， 但 是 阻止 了 任何 有 价值 的 IP 在 整个 部 门 扩散 。 组 织 机 构 为 操作 和 经 营 效率 而 追求 的 “扁平 化 ”可 能 不 小 心 导致 
更 多 的 隐患 ， 相 比 基 于 信息 敏感 性 进行 分 段 的 网 络 ， 以 类 似 的 方式 创建 单一 、 扁 平 的 网 络 环境 可 能 会 增加 风险 。 


简 而 言 之 ， 企 业 机 构 需要 确保 其 IT 系 统 只 为 (内 部 或 外 部 ) 用 户 提 供 最 低 限 度 的 信息 ， 即 他 们 能 够 执行 工作 所 必要 的 信息 。 
为 用 户 开放 更 多 使 用 权 会 给 企业 机 构 及 信息 资产 带 来 不 必要 的 风险 。 举 例 来 说 ， 提 供 特定 |T 服 务 的 供应 商 ， 应 该 不 是 利用 风险 会 
大 大 增加 的 系统 级 管理 认证 和 控制 ， 而 是 利用 虚拟 私人 网 络 访问 到 网 络 或 者 虚拟 界面 网 络 的 一 部 分 来 完成 职责 。 供 应 商 的 管理 团 
队 一 般 不 直接 管理 供应 商 访 问 控制 的 细节 ， 但 他 们 应 该 积极 地 参与 到 与 |T 安 全 团队 的 讨论 中 。 


给 网 络 安 全 团队 设置 联网 设备 政策 的 授权 


在 很 多 部 门 里 ， 连 接 到 企业 网 络 的 操作 设备 大 幅 增 多 ， 但 是 这 些 设 备 (如 医疗 器 械 、 生 产 线 控制 设备 、 传 感 器 ) 却 不 由 IT 部 
门 管理 。 这 些 设备 事实 上 是 计算 机 ， 但 安全 性 并 不 总 是 其 开发 者 优先 考虑 的 事 ， 由 于 这 些 经 常 是 随 着 技术 成 熟 经 过 长 时 间 演 化 来 
的 设备 ， 它 们 经 常 不 被 视 为 计算 设备 。 例 如 ，X; 光 及 其 他 造影 剂 ， 是 从 利用 物理 影片 的 模拟 装置 到 基于 图 像 文件 的 数字 设备 的 演 
化 。 而 且 ， 管 理 这 些 设备 的 商界 人 员 ， 在 没有 更 多 专业 支持 的 情况 下 ， 通 常 不 具备 必要 的 经 验 或 专业 知识 以 保护 设备 安全 性 。 结 
果 ， 企 业 不 得 不 依赖 于 网 络 安全 团队 ， 这 就 意味 着 该 团队 必须 了 解 ， 而 且 有 权 访问 这 些 设 备 ， 以 便 采 取 所 需 的 防护 机 制 。 这 就 超 
越 了 只 是 设 定 需求 ， 还 包括 让 安全 专家 融入 产品 设计 与 工程 团队 ， 就 像 他 们 参与 新 软件 的 安全 开发 过 程 一 样 。 


第 三 方 供应 商 提 供 的 产品 和 服务 会 包括 范围 较 宽 的 网 络 安全 漏洞 : 供应 商 可 能 没有 按照 规定 去 天 心 和 对 待 客户 的 敏感 信息 ， 
新 的 连接 设备 会 给 攻击 者 创造 路 径 渗透 进 企 业 网 络 ， 等 等 。 为 了 解决 这 些 问 题 ， 一 流 企业 会 采取 多 项 战略 来 促进 网 络 安全 团队 与 
操作 运营 及 采购 部 门 的 关系 。 不 过 ， 如 前 所 述 ， 购 买 者 在 考虑 购买 时 日 益 重视 安全 因素 ， 目 前 ， 少 有 企业 完全 将 网 络 风 险 结合 到 
采购 过 程 。 实 现 数字 化 适应 力 意味 着 ， 在 供应 商 策略 、RFP 建 设 、 供 应 商 /竞标 调查 、 最 后 协商 及 绩效 管理 包括 解约 (必要 的 时 
候 ) 中 考虑 网 络 安全 因素 。 


在 供应 商 评估 中 采用 以 风险 为 基础 的 方法 


企业 机 构 会 拥有 成 干 上 万 个 供应 商 (我 们 所 知道 的 一 个 医院 网 络 有 近 3 万 个 供应 商 ) 。 如 果 没 有 有 效 的 供应 商 管理 ， 根 本 无 
从 知晓 哪 家 供应 商 有 何 种 类 型 的 敏感 信息 。 这 样 ， 信 息 资 产 风险 就 融合 更 多 的 传统 目标 ， 比 如 成 本 、 质 量 及 运营 控制 ， 成 为 重要 
的 供应 商 合理 化 驱动 因素 ， 而 非 “ 马 后 炮 ”。 


然而 ， 即 使 采取 了 有 效 的 供应 商 管理 措施 ， 大 型 机 构 也 会 有 几 干 个 供应 商 : 简单 来 说 就 是 ， 他 们 提供 太 多 类 型 的 专业 服务 ， 
太 多 需要 当地 供应 商 的 地 点 ， 为 了 让 这 些 数 字 变 低 些 又 有 太 多 不 同类 型 的 软件 。 对 每 个 供应 商 的 全 面 网 络 安 全 评估 会 停止 承包 ， 


因此 ， 成 熟 的 公司 决定 基于 传输 的 信息 类 型 、 贸 易 关 系 的 规模 及 与 企业 技术 环境 关系 的 本 质 来 决定 所 需 的 分 析 深 度 。 如 同 公司 要 
确定 优先 控制 、 对 不 同 信息 资产 给 予 差 别 保护 一 样 ， 他 们 还 需要 创建 合适 的 供应 商 管理 过 程 ， 以 匹配 暴露 水 平 。 要 为 有 较 低 风险 
的 较 小 供应 商 创建 效益 ， 安 全 和 采购 团队 要 跨 企业 合作 ， 对 评 佑 问卷 进行 规范 ， 这 样 ， 每 次 有 新 客户 ， 供 应 商 将 不 必 回 应 客户 一 
系列 不 同 的 问题 。 主 要 合作 伙伴 ， 如 外 包 制 造 企业 或 基础 设施 提供 商 ， 可 从 标准 化 评审 和 审计 开始 ， 但 是 ， 合 作 关系 的 重要 性 及 
暴露 的 程度 需要 更 为 实用 及 自 定义 方法 。 


企业 机 构 应 制定 纲要 ， 决 定 哪个 功能 部 门 最 终 负责 管理 供应 商事 宜 (比如 中 央 风 险 职能 部 门 还 是 负责 签订 承包 合同 的 职能 部 
门 ) 、 第 三 方 供 应 商 带 来 的 暴露 中 可 接受 的 访问 与 风险 及 为 审查 和 管理 供应 商 而 采取 的 治理 过 程 。 严 格 地 说 ， 这 些 政策 还 应 制订 
出 终止 不 合 规 供 应 商 合同 的 步骤 ， 一 位 CISO 对 自己 公司 的 供应 商 管理 职能 深 表 遗憾 ， 他 抱 奶 ， 从 来 没 看 到 哪个 供应 商 合同 得 到 
终止 ， 即 便 他 们 的 信息 安全 管理 很 糟糕 。 


在 确定 供应 商 安 全 需求 时 保持 谈判 能 


企业 对 供应 商 的 安全 需求 与 其 所 拥有 的 谈判 能 力 间 存在 着 内 在 张力 。 要 求 越 严格 ， 能 符合 的 供应 商 就 越 少 ， 企 业 的 回旋 余地 
就 越 小 。 一 家 制造 企业 有 9 家 供应 商 回应 了 一 份 RFP， 结 果 根据 安全 需求 秘 选 只 有 两 家 合格 的 候选 。 为 了 避免 这 种 情况 ， 采 购 及 
安全 团队 必须 在 这 样 的 背景 下 评估 RFP 安 全 需求 : 普遍 市 场 实践 、 整 体 商业 风险 、 整 体 契 约 经 济 。 行 业 或 国际 标准 中 的 基础 需求 
有 助 于 让 更 多 的 供应 商 参与 ， 因 为 他 们 无 须 满足 公司 定制 的 需求 ， 而 期 待 供应 商 遵循 一 套 定制 的 标准 常常 会 让 能 参与 进来 的 供应 
商 变 少 。 

同时 ， 供 应 商 合同 、 服 务 级 别 协议 SLA) 、 主 要 服务 协议 及 其 他 任何 文件 都 该 与 已 设立 的 供应 商 管理 政策 相 一 致 。 理 想 的 


， 这 些 文 件 会 规定 供应 商 管 理 信息 安 全 风险 中 可 接受 及 所 需 的 行为 ， 包 括 定期 安全 审查 和 测试 、 员 工 背 景 调查 、 数 据 加 密 和 存 
储 、 网 络 破坏 披露 。SLA 应 列 出 会 受 安 全 问题 影响 的 最 低 服 务 表现 水 平 ， 比 如 在 线 软 件 作为 服务 应 用 的 网 络 可 用 性 。 


各 


减少 供应 商 数量 


由 于 面临 历史 性 的 管理 的 挑战 ， 一 家 大 型 公司 拥有 近 2000 家 IT 供应 商 (其 中 700 家 持 有 真正 敏感 的 数据 ) ， 其 总 供应 商 数 量 
为 2.5 万 个 。 即 便 是 最 为 守 纪 律 、 受 过 训练 的 部 门 也 无 法 完全 对 所 有 这 些 供应 商 进行 监督 。 一 般 说 来 ， 整 合 供应 商 的 首要 驱动 是 
成 本 和 服务 质量 ， 但 是 CISO 必 须 在 讨论 中 发 声 并 指出 ， 供 应 商 数量 之 大 ， 会 让 跟踪 任务 和 确保 供应 商 符合 公司 安全 政策 方面 大 
幅 复杂 化 ， 比 如 对 “ 谁 接触 了 哪些 数据 ”进行 的 跟踪 等 。 


人 力 资源 


负责 网 络 安全 和 HR 的 经 理 们 需要 协作 ， 让 保护 员工 和 保护 企业 信息 资产 达到 合适 的 平衡 。 在 如 今日 益 数字 化 的 世界 里 ,一 
线 员工 处 理 着 敏感 I1P 及 客户 数据 ， 这 些 资产 的 损害 会 让 公司 受 损 ， 从 竞争 地 位 或 法 律 责 任 方 面 讲 ， 损 失 可 达 数 亿美 元 。 


确保 员工 责任 透明 化 
现在 ， 越 来 越 多 公司 允许 员工 把 自己 的 设备 带 到 单位 工作 ， 企 业 和 个 人 技术 的 界线 开始 变 得 模糊 ， 员 工 如 何 使 用 智能 手机 其 
至 笔记 本 的 责任 也 会 变 得 模糊 不 清 : 在 自己 的 设备 上 ， 他 们 能 安装 什么 软件 ”他 们 能 连接 企业 网 络 中 的 什么 设备 ”为 了 确保 员工 


认为 安全 政策 是 公平 公正 的 ， 网 络 安 全 及 HR 团队 需要 确保 员工 理解 ， 企 业 对 他 们 的 期 待 是 什么 ， 没 有 达到 这 些 期 待 会 有 什么 潜 
在 后 果 。 在 后 面 的 章节 里 ， 我 们 会 更 深入 探讨 部 门 间 沟通 交流 及 其 他 机 制 ， 以 便 在 企业 内 部 创建 和 强化 这 种 文化 。 


业内 人 士 分 析 与 企业 文化 相 结合 


网 络 安全 团队 逐渐 使 用 越发 精密 的 分 析 方 法 来 识别 可 能 泄露 敏感 信息 的 员工 。 这 些 分 析 方 法 针对 的 范围 远 远 超过 IT 用 途 的 信 
息 。 财 务 困难 、 业 绩 评估 、 离 职 计划 等 内 部 风险 的 前 兆 通 常 对 HR 团队 来 说 是 有 可 见 性 的 ， 但 这 对 网 络 安全 团队 不 具 可 见 性 。 让 


员工 隐私 与 保护 信息 资产 之 间 达 到 平衡 ， 取 决 于 企业 风险 承受 能 力 及 文化 和 相关 管辖 地 区 的 监管 环境 。 已 经 有 一 些 国防 承包 商 及 
对 冲 基 金 公 司 ， 要 求 新 员工 签署 “生死 状 ”， 接 受 他 们 签署 并 同意 的 监视 程度 。 在 其 他 一 些 行业 ， 这 种 对 员工 隐私 的 入 侵 程度 是 
很 难 想象 的 ， 甚 至 是 非法 的 。 企 业 需 认 真 考虑 监管 要 求 及 适当 的 法 律 审查 规定 。 在 美国 一 些 州 及 欧洲 很 多 国家 ， 对 员工 进行 深入 
的 在 线 监 视 的 有 效 性 是 不 确定 的 。 于 是 ， 要 由 高 层 管理 者 决定 分 析 方 法 所 要 挖掘 的 深度 ， 并 且 要 按照 法 律 和 合 规 性 专家 的 意见 ， 
网 络 安全 团队 及 HR 都 将 需要 帮助 高 管 们 做 出 正确 的 平衡 。 


风险 管理 与 合 规 性 


网 络 安全 自然 会 与 风险 管理 和 合 规 性 有 重 焉 。 毕 竟 ， 网 络 攻击 就 是 另 一 种 形式 的 运营 风险 ， 网 络 安全 可 被 认为 是 一 个 风险 管 
理 功能 ， 因 此 ， 企 业 风 险 管理 团队 是 网 络 安全 团队 的 天 然 伙伴 。 此 外 ， 监 管 机 构 会 对 越 来 越 多 的 行业 的 网 络 安全 决策 行使 一 定 程 
度 的 监管 。 这 就 意味 着 ， 网 络 安全 团队 必须 与 风险 管理 及 合 规 性 管理 者 合作 ， 强 调 网 络 安全 的 风险 管理 方面 ， 确 保 合 规 性 不 会 主 
导 网 络 安 全 政策 及 投资 。 这 看 上 去 似乎 是 最 基本 的 ,但 事实 是 ,很 少 有 组 织 机 构 视 网 络 安 全 属 运营 风险 领域 ， 也 就 没有 照 此 加 以 
管理 。 


行业 不 同 ， 风 险 管理 与 网 络 安全 的 关系 也 不 尽 相 同 。 在 金融 行业 或 严重 依赖 IP 的 行业 (如 制药 、 国 防 ) ， 通 常 也 已 建立 起 良 
好 的 风险 管理 项 目 。 一 般 来 说 ， 这 些 项 目 管理 传统 市 场 及 流动 性 风险 比较 有 效 ， 但 很 少 能 系统 地 解决 信息 和 网 络 安 全 风险 ， 通 常 
的 解决 方法 是 对 新 领域 采用 经 典 的 风险 管理 方法 。 处 于 中 间 状 态 的 是 能 源 、 医 疗 等 关键 基础 设施 行业 和 受 政 府 约束 管制 的 行业 ， 
属于 这 些 领 域 的 公司 ， 在 实施 业务 连续 性 计划 与 灾难 修复 之 外 ， 开 始 提升 自身 的 风险 管理 能 力 ， 虽 很 少 覆盖 网 络 安全 风险 ,但 是 
网 络 安全 风险 项 目 可 融入 日 益 成 熟 的 企业 风险 职能 部 门 。 最 后 ， 是 不 太 成 熟 的 行业 ， 比 如 零售 业 ， 它 们 可 能 根本 不 具备 正式 的 风 
险 管理 团队 。 对 于 这 些 行业 来 说 ， 设 立 网 络 安 全 团队 可 能 是 开拓 性 的 功能 ， 需 要 推动 建立 起 核心 风险 流程 和 方法 。 


与 合 规 性 功能 部 门 协作 ， 了 解 监管 者 真正 的 底线 


在 采访 中 ， 我 们 一 次 又 一 次 地 听 到 受 访 者 说 合 规 性 不 关乎 安全 ， 监 管 者 常常 具有 教条 主义 心态 ， 相 比 最 新 的 防御 机 制 ， 监 管 
标准 可 能 已 经 落后 多 年 。 管 理 监 管 环境 总 充满 挑战 性 ， 但 是 ， 网 络 安全 及 合 规 性 团队 是 有 办 法 协作 缓解 其 影响 的 。 鉴 于 监管 者 与 
流程 紧密 相关 ， 给 他 们 提供 评估 风险 、 优 先 级 投资 及 设置 政策 的 透明 机 制 ， 可 以 促使 监管 者 与 企业 之 间 更 加 融洽 ， 或 许 ， 更 为 重 
要 的 是 ， 避 免 监管 指导 出 现 空白 。 一 家 金融 机 构 ， 为 了 符合 监管 规定 〈 其 管理 者 这 么 认为 ) ， 愿 意 接受 一 些 核心 IT 过 程 中 明显 出 
现 低 效率 现象 。 合 规 性 团队 帮助 该 企业 确定 ， 事 实 上 ， 大 多 效率 最 低 的 约束 源 于 对 监管 者 需求 的 认 知 ， 而 非 来 自 实际 的 监管 指 


已 
村。 


将 网 络 安全 融合 进 整 个 企业 范围 内 的 风险 管理 过 程 


自 经 济 危 机 中 企业 面临 各 种 挑战 以 来 ， 如 今 ， 董 事 会 及 高 级 管理 团队 注重 企业 风险 的 方式 甚至 在 10 年 前 是 难以 想象 的 。 他 
们 依靠 风险 管理 职能 来 推动 风险 评估 、 风 险 缓解 及 报告 不 同类 型 的 风险 ， 包 括 流动 性 、 信 用 、 监 管 、 法 律 及 运营 等 方面 。 但 是 ， 
如 果 网 络 安全 被 视 为 IT 的 责任 ,与 其 他 类 型 企业 风险 分 开 ， 那 么 董事 会 及 高 级 管理 团队 将 不 予以 其 所 需 的 重视 、 支 持 及 资金 。 在 
董事 会 和 高 级 管理 团队 最 为 有 效 参 与 解决 网 络 安全 问题 的 一 些 公 司 里 ， 他 们 将 用 于 评估 、 区 分 优先 级 和 报告 网 络 安全 风险 的 语言 
和 框架 ， 整 合 到 他 们 所 说 的 运营 风险 类 型 中 。 例 如 ， 一 些 银行 视 信息 安全 风险 为 顶级 风险 事件 分 类 ， 即 使 这 并 非 《 新 资本 协议 》 
(Basel Il Capital Accord) 中 陈述 的 由 国际 银行 建议 所 定义 的 7 种 最 高 类 别 之 一 。 在 一 家 寿险 公司 ， 信 息 安全 风险 问题 从 董事 
会 IT 委员 会 的 管理 权限 转移 至 企业 风险 委员 会 ， 后 者 会 让 信息 安全 风险 同市 场 及 其 他 商业 风险 一 样 成 为 日 常 工作 事项 。 


让 一 线 员工 参与 保护 他 们 所 使 用 的 信息 资产 


几 年 前 ， 一 家 金融 机 构 的 资深 数据 库 管理 员 (DBA) 收 到 一 封 邮 件 ， 内 容 关 于 即将 到 来 的 大 学 同学 聚会 。 邮 件 中 称呼 其 
名 、 提 到 具体 的 聚会 活动 ， 还 留 了 一 个 链接 ， 点 开 可 查看 更 多 相关 信息 。 


鉴于 他 对 母校 的 深厚 情感 ， 这 位 DBA 点 击 了 该 链接 。 不 幸 的 是 ， 该 邮件 是 个 鱼 叉 式 网 络 钓鱼 攻击 <。 通过 研究 DBA 在 社交 网 
络 上 发 布 的 信息 ， 网 络 罪犯 能 够 编造 出 看 似 来 自 同学 的 可 信 的 信息 。 


当 他 点 击 链接 后 ， 进 入 了 一 个 在 其 电脑 上 安装 恶意 软件 的 网 站 。 该 恶意 软件 是 个 击 键 记录 器 ， 能 够 捕获 他 进入 多 个 合 有 客户 
敏感 信息 数据 库 的 密码 。 他 所 在 公司 为 了 避免 泄露 客户 数据 的 尴 炊 局 面 ， 同 意 给 网 络 罪犯 支付 大 笔 赎 金 。 


在 另 一 家 金融 机 构 ， 一 位 客户 经 理 犯 了 一 个 低级 错误 。 她 给 一 位 客户 发 送 其 账户 过 去 一 年 的 总 结 ， 但 是 ， 她 回复 匆忙 之 下 添 
加 了 错误 的 文件 ， 而 这 个 文件 中 有 数 万 名 客户 的 个 人 信息 ， 幸 运 的 是 ， 这 位 客户 提醒 了 她 ， 波 及 面 有 限 ， 只 是 打 了 几 通 比较 篮 众 
的 电话 。 


这 些 非 故意 的 行为 让 公司 处 于 风险 中 ， 而 且 很 常见 。 谁 没 在 邮件 中 插入 过 错 的 文件 ， 或 是 把 正确 的 文件 发 送 给 错误 的 人 呢 ? 
第 三 方 研究 人 员 可 轻率 地 将 敏感 |P 放 在 不 可 信 的 外 部 云 存储 服务 ; 呼叫 中 心 代 理 可 能 把 很 多 密码 写 在 便条 上 贴 在 显示 器 旁边 ; IT 
经 理 可 能 会 让 重要 计算 机 系统 访问 权 变 得 过 时 。 总 而 言 之 ， 员 工 可 能 造成 的 非 故 意 性 安全 漏洞 是 无 穷 无 尽 的 。 


由 此 ， 需 要 保护 信息 资产 的 公司 面临 着 更 具 挑 战 性 的 环境 ， 它 们 有 两 个 选择 。 它 们 可 以 实施 越 来 越 严 格 的 控制 ， 控 制 员 工 从 
事 工作 所 使 用 的 技术 一 一 这 会 降低 生产 力 ， 有 时 还 促进 工作 环境 变 得 极 不 安全 一 一 并 一 直 强 调 员 工 要 进行 安全 的 沟通 和 相应 培 
训 。 或 者 ， 公 司 可 以 超越 安全 意识 和 各 种 规定 而 推出 改变 一 线 员工 行为 的 项 目 。 为 了 追求 数字 化 适应 力 ， 组 织 机 构 需要 让 员工 参 
与 到 网 络 安全 需求 中 来 ， 让 他 们 变 为 盟友 ， 而 非 隐患 。 


很 多 CIO、CISO 及 CTO 对 改变 员工 行为 的 潜在 价值 持 怀疑 态度 。 我 们 询问 他 们 ， 帮 助 一 线 员工 理解 信息 资产 的 价值 会 有 何 
影响 ， 不 到 一 半 的 人 认为 ， 这 会 影响 巨大 或 者 有 力挽狂澜 的 作用 。 实 际 上 ， 在 我 们 所 调查 的 7 个 手段 中 ， 技 术 高 管 们 将 改变 一 线 
员工 行为 视 为 最 不 重要 的 一 个 。 然 而 ， 他 们 持 怀疑 态度 并 不 是 因为 认为 用 户 行为 不 重要 ， 而 是 因为 担心 他 们 的 行为 无 法 改变 : 他 
们 会 认为 这 是 一 种 约束 ， 而 非 机 遇 。 


于 是 ,我 们 反复 听 到 | 技术 主管 说 到 改变 一 线 员 工行 为 是 件 很 难 的 事情 。 一 位 CISO 说 : “网 络 安全 意识 培训 不 起 作用 。 公 司 
进行 防止 性 骚扰 培训 、 监 管 合 规 性 培训 及 很 多 其 他 培训 ， 但 我 们 只 是 人 们 不 认真 关注 的 另 一 个 对 象 罢了 。“ 


幸运 的 是 ,一 些 企 业 机 构 在 这 个 方面 取得 了 较 多 进展 ， 它 们 通过 不 同方 式 来 实施 四 件 事 : 根据 用 户 所 使 用 的 信息 类 型 对 他 们 
进行 分 割 ; 利用 现 有 的 安全 与 质量 措施 ; 利用 设计 思维 创建 工具 和 服务 ， 让 用 户 更 容易 为 所 应 为 ; 通过 采用 一 系列 相辅相成 的 措 


基于 用 户 所 需要 使 用 的 信息 ， 对 用 户 进行 分 割 


不 同类 型 的 用 户 使 用 完全 不 同类 型 的 信息 ， 这 些 信息 的 敏感 级 别 亦 有 差别 。 制 造 业 的 研发 团队 接触 极为 敏感 的 自主 |P， 但 从 
来 不 会 接触 客户 数据 ; 保险 业 呼 叫 中 心 代 理 可 能 会 看 到 知名 客户 的 健康 或 财务 信息 ， 但 几乎 很 少 看 到 其 他 局 外 人 感 兴趣 的 数据 ; 
所 有 行业 的 资深 管理 者 都 接触 公司 最 为 关键 的 商业 策略 ， 有 时 看 上 去 行政 助理 能 接触 到 所 有 事情 。 


在 处 理 敏 感 信息 和 针对 整体 风险 上 ， 不 同 团队 也 有 着 不 同 的 态度 。 总 法 律 顾问 办 公 室 的 律师 们 将 (或 至 少 应 该 ) 倾向 于 保护 
机 密 信息 ， 这 些 信息 可 追溯 至 他 们 还 在 法 学 院 读书 的 时 候 ; 而 贸易 商 可 能 太 过 注重 跟 上 市 场 节 奏 ， 而 从 来 不 考虑 保护 有 价值 信 
息 ; 研究 者 ， 尤 其 是 有 学 术 背 景 的 研究 者 ， 可 能 认为 “信息 渴望 自由 ”， 这 种 观点 会 吓 到 他 们 的 老板 ， 因 其 可 能 置 价值 数 百 万 美 
元 的 IP 于 风险 中 。 


不 同 的 用 户 接触 到 的 信息 类 型 有 所 差异 ， 他 们 对 保护 这 些 信息 的 态度 也 有 所 不 同 ， 鉴 于 此 ， 应 该 清楚 的 是 ， 对 所 有 用 户 以 同 


样 方式 对 待 的 常规 方法 ， 只 能 对 实现 数字 化 适应 力 产生 最 小 的 影响 。 在 动员 每 个 人 都 采取 行动 上 ， 标 准 方法 并 不 有 效 。 


在 这 方面 取得 进展 的 公司 ， 最 先 会 去 了 解 不 同 团队 和 不 同位 置 的 用 户 对 保护 信息 的 看 法 。 例 如 ， 一 家 银行 的 领导 了 解 到 ， 从 
事 资本 市 场 业务 的 员工 经 常 完 全 没有 意识 到 网 络 安全 风险 ， 同 时 ， 银 行 零售 业务 经 理 们 认为 这 个 问题 尽 在 执掌 之 中 。 了 解 了 每 个 
团队 的 担忧 、 倾 向 及 盲点 ， 让 这 家 银行 设计 和 传达 出 更 具有 挑战 性 并 最 终 有 效 的 信息 : 缺乏 基本 认识 的 团队 接收 到 的 通信 信息 
中 ， 注 重 解释 网 络 安全 问题 会 导致 重大 风险 ， 分 享 了 其 他 承受 损害 的 公司 案例 ， 还 介绍 了 解决 风险 可 采取 的 初步 措施 ;网 络 安全 
方面 较为 先进 一 些 的 团队 收 到 的 通信 中 ， 简 要 提 及 商业 案例 ， 注 重 的 是 更 高 级 别 的 风险 缓解 措施 ， 以 及 如 何 解释 信息 安全 报告 。 
随 着 不 同 团队 在 信息 安全 上 变 得 越 来 越 成 熟 的 过 程 中 ， 每 个 团队 都 会 收 到 适合 自己 情况 的 培训 及 支持 信息 。 


一 流 公司 会 在 考虑 优先 级 过 程 中 识别 为 天 键 的 资产 及 使 用 它们 的 用 户 之 间 设 立 界线 ， 同 样 ， 这 为 实施 更 有 针对 性 、 更 有 效 的 
一 套 和 干预 留 出 余地 。 如 果 管理 人 员 及 员工 理解 哪个 信息 尤其 敏感 、 只 有 小 范围 的 人 士 可 以 接触 ， 那 么 他 们 可 以 加 以 管理 ， 让 访问 
权限 成 为 有 效 的 备份 技术 控制 措施 ， 而 非 防止 过 度 分 配 的 首 道 防线 。 


一 家 石油 开采 公司 决定 ， 开 采 权 力 谈判 策略 为 其 最 敏感 的 信息 资产 。 高 管 开玩笑 称 ， 一 张 指示 高 管 “ 为 某 项 所 有 权 出 价 15 
亿美 元 ， 但 不 要 超过 25 亿 美元 ”的 纸 条 ， 若 落 入 坏人 手中 就 变 成 了 “价值 数 十 亿美 元 的 电邮 ” 。 经 过 调查 ， 该 公司 决定 ， 数 万 
员工 中 只 有 500 人 可 合理 访问 这 些 数据 (有 趣 的 是 ， 这 些 人 中 几乎 一 般 是 助理 及 其 他 支持 人 员 ) 。 基 于 此 ,该 公司 开发 了 “500 
强 ” 计 划 ， 着 重 帮助 这 一 小 部 分 人 理解 如 何 更 好 地 保护 与 谈判 有 关 的 信息 。 这 一 受到 更 好 培训 的 团体 被 赋予 更 高 的 权限 ， 可 访问 
企业 应 用 程序 及 协作 平台 里 的 敏感 数据 。 鉴 于 对 这 部 分 人 的 评估 只 能 提供 出 初步 见解 ， 该 公司 还 设立 常规 过 程 来 评审 “500 
强 ” 成 员 ， 另 外 ， 基 于 该 团体 成 员 对 需要 了 解 和 接触 的 信息 的 变化 ， 公 司 还 推出 一 个 “500 强 ”成 员 进出 机 制 。 


利用 现 有 的 安全 和 质量 措施 


无 疑 ， 组 织 变革 是 很 难 的 ， 但 是 很 多 公司 的 实践 证 明 这 可 以 用 系统 的 、 可 持续 的 方式 达成 。 我 们 看 到 一 些 公司 ， 尤 其 是 自然 
资源 、 制 造 、 生 命 科学 领域 的 公司 ， 在 安全 与 质量 上 有 着 长 足 的 进步 3。 不 仅 网 络 安全 团队 向 同事 学 习 安全 生产 ， 他 们 还 基于 构 
建 质量 与 安全 项 目 来 创造 改变 。 这 产生 了 多 重 益 处 ， 向 员工 强调 了 网 络 安全 是 核心 商业 实践 ， 而 非 单独 的 “IT 问题 ”。 考 虑 到 高 
级 管理 层 对 质量 和 安全 项 目的 支持 ， 这 个 方法 强调 了 改变 行为 的 重要 性 。 若 利用 好 报告 、 治 理 、 奖 励 制度 等 已 经 存在 的 组 织 架 
构 ， 这 方法 还 能 更 为 高 效 。 


在 很 多 自然 资源 、 石 油 、 流 程 性 制造 业 公司 里 ， 每 次 开会 都 以 “安全 分 享 ”开始 ， 其 中 ， 参 与 者 提出 一 个 避免 事故 的 方法 建 
议 。 在 一 家 石油 公司 ， 其 总 部 的 管理 人 员 认为 ， 保 护 信息 资产 如 同 保护 人 员 及 物理 资产 一 样 非常 重要 ， 于 是 ， 他 们 日 益 将 网 络 安 
全 相关 的 安全 分 享 圳 括 到 安全 分 享 中 来 。 这 一 过 程 联系 起 企业 已 形成 的 文化 与 核心 价值 ， 而 非 将 信息 安全 设立 为 新 的 或 单独 的 问 
题 。 每 当 有 人 谈论 自己 发 现 会 议 桌 上 放 着 敏感 文件 并 处 理 恰当 ， 进 而 跟 进 文档 所 有 者 ， 确 保 文 档 安 全 ， 这 时 ， 都 加 强 了 员工 的 安 
全 行为 规范 ， 就 如 同 有 人 分 享 清理 了 可 能 会 导致 人 员 摔 下 楼 梯 的 泄漏 液体 的 经 历 一 样 ， 也 如 同 当 有 与 会 者 表示 在 开车 而 立即 终止 
电话 会 议 确 保安 全 一 样 。 


采用 “设计 思维 ”， 让 用 户 更 容易 为 所 应 为 


在 很 多 ,或许 大 部 分 公司 里 ， 员 工会 告诉 你 ,信息 安全 是 让 人 头疼 的 事 ， 它 迫使 员工 ， 而 且 经 常 还 迫使 他 们 的 客户 ， 要 记 住 
复杂 的 密码 ， 会 阻止 他 们 使 用 很 多 在 线 工具 ， 而 这 些 工 具 都 会 应 用 在 个 人 设备 上 ， 甚 至 还 导致 笔记 本 电脑 要 很 长 时 间 才 能 开机 启 
动 ， 这 样 员工 必须 提前 5 分 钟 到 单位 。 难 怪 ， 很 多 科技 主管 告诉 我 们 ， 网 络 安全 对 公司 一 线 生 产 力 造成 了 实质 性 的 负面 影响 。 


其 中 的 一 些 不 便 是 难以 避免 的 。 对 企业 环境 来 说 ， 不 是 所 有 设备 、 服 务 或 应 用 程序 都 足够 安全 ， 没 有 可 靠 的 身份 认证 措施 ， 
很 难保 护 敏 感 信息 一 一 公司 都 不 知道 是 你 在 访问 数据 ， 如 何 能 保护 你 的 数据 。 


然而 ， 大 多 不 便 源 于 粳 糕 的 设计 。 虽 然 ， 人 苹果、 谷歌、 亚马逊 等 公司 迫不得已 而 为 外 部 客户 创造 愉快 的 用 户 体验 ， 但 在 其 他 
很 多 公司 里 ， 员 工 及 客户 的 用 户 体验 为 低 优先 级 别 。 这 就 是 安全 措施 的 真实 情况 。 一 家 公司 虽 已 开始 要 求 员 工 设置 更 为 复杂 的 密 
码 ， 但 并 未 解释 哪 种 类 型 的 密码 符合 要 求 (多 长 ， 大 小 写 混合 ， 加 入 特殊 字符 ) ， 这 让 用 户 自 己 经 过 烦人 的 试验 和 错误 去 摸索 。 
自然 而 然 地 ， 员 工 越发 认为 安全 措施 是 完成 工作 的 障碍 ， 而 非 保护 企业 的 同盟 者 ， 反 过 来 ， 也 降低 了 员工 视 自己 为 盟友 的 概率 。 


一 家 银行 在 客户 访问 在 线 付 款 服务 前 要 求 客 户 回答 一 组 “挑战 问答 题 ”。 要 给 出 正确 答案 ， 客 户 得 记 住 自己 的 第 一 辆 车 是 科 
迈 罗 ， 但 是 ， 客 户 是 否 记 得 几 年 前 她 设置 账户 的 时 候 输 入 的 是 “雪佛兰 牌 科 迈 罗 ” “雪佛兰 科 迈 罗 ” ， 还 是 “ 科 迈 罗 ”， 抑 或 是 
其 他 变 体 呢 ? 毋庸 置疑 ， 增 加 问答 题 这 个 变化 会 导致 很 多 人 愤怒 地 给 客户 服务 中 心 打 电 话 。 昌 然 员工 更 经 常 访 问 系统 ， 对 挑战 问 
答 形成 了 “肌肉 记忆 ” ， 这 条 教训 仍然 适用 : 真实 用 户 与 系统 的 交互 方式 必须 得 经 过 仔细 考虑 。 


纵然 ， 一 谈 到 多 因素 身份 认证 协议 ， 取 悦 终 端 用 户 就 仍 是 难以 完成 的 任务 ， 但 为 了 让 终端 用 户 能 有 积极 的 体验 ， 设 计 思 维 要 
求 技术 专家 (及 他 人 ) 重新 定义 他 们 的 工作 。 设 计 公司 IDEO 的 CEO 蒂 姆 ;布朗 (Tim Brown) 称 设计 思维 意味 着 : “通过 直观 观 
察 全 面 理解 人 们 生活 中 想 要 的 和 需要 的 ， 人 们 对 于 特定 产品 的 生产 、 包 装 、 营 销 、 销 售 和 支持 服务 方式 的 好 亚 ， 会 驱动 创新 。 
"4 


首要 的 是 ， 网 络 安 全 工具 必须 确保 公司 的 资产 得 以 保护 。 在 创造 积极 的 用 户 体验 的 同时 可 能 达成 这 点 ， 然 而 ， 过 分 自信 地 假 
定 这 两 者 问 有 恰到好处 的 平衡 取舍 ， 会 导致 错失 同时 提高 安全 和 用 户 体验 的 良机 。 一 个 非 营 利 组 织 发 现 ， 尽 管 各 种 各 样 的 公共 文 
件 共享 服务 的 安全 功能 从 未 得 到 验证 ， 该 组 织 的 员工 还 是 会 用 这 些 服 务 来 存储 敏感 的 交易 相关 文件 。 为 了 阻止 这 种 行为 ， 该 组 织 
引入 自己 的 安全 应 用 程序 。 员 工 感 沉 到 ，|T 正 在 回应 他 们 的 协作 需求 ， 同 时 ， 该 组 织 大 大 提高 了 合 规 性 。 


当然 ， 将 注意 力 集中 在 合 规 性 上 意味 着 该 机 构 被 束缚 于 一 些 真 正 的 威胁 。 一 家 银行 完全 符合 设备 安全 标准 ， 通 过 了 每 次 审 
计 ， 然 而 所 有 这 些 控 制 大 大 放 慢 了 启动 时 间 ， 导 致 员工 转 而 使 用 不 安全 的 个 人 笔记 本 电脑 ， 旅 行 时 也 会 依赖 于 基于 网 络 的 电邮 。 
任何 安全 审计 都 没有 捕捉 到 这 些 真正 的 风险 ， 但 这 些 仍 需要 和 解决。 于是， 这 家 银行 发 起 一 项 协作 项 目 ， 在 升级 员工 笔记 本 操作 系 
统 时 ， 降 低 笔记 本 的 开机 时 间 ， 现 在 ， 局 动 时 间作 为 一 项 网 络 安全 团队 的 顶级 性 能 指标 而 受到 跟踪 。 让 合 规 变 得 尽 可 能 容易 ， 责 
任 就 在 IT 部 门 ， 虽 然 ， 合 规 性 标准 稍 低 一 些 。 


采用 一 系列 相辅相成 的 措施 


通过 我 们 的 采访 发 现 ， 经 验 显 示 ， 为 了 让 公司 更 为 安全 而 让 员工 改变 行为 是 很 难 的 事情 。 确 实 ， 麦肯锡 公司 的 研究 显示 ， 在 
几乎 所 有 背景 下 ， 组 织 变化 都 很 难 达成 ， 尤 其 是 当 忽然 开始 关注 某 个 话题 时 ， 一 个 组 织 很 容易 回 到 此 前 养 成 的 习惯 >。 我 们 经 常 
看 到 ， 当 组 织 机 构 需要 全 面 变革 管理 程序 时 ， 他 们 会 选择 一 个 提升 网 络 安全 意识 的 程序 。 他 们 贴 出 海报 ， 敦 促 员工 “三 思 后 再 点 
击 鼠 标 ”， 并 进行 模拟 网 络 钓鱼 活动 ， 来 判定 哪些 员工 会 点 击 一 封 明 显 有 诈骗 性 的 邮件 中 的 链接 。 鉴 于 用 户 行为 对 整体 安全 的 巨 

影响 ， 这 些 措施 还 不 够 。 提 高 意识 的 项 目 至 多 是 改变 用 户 行为 的 一 个 因素 ， 通 信 交 流 也 仪 是 促成 心态 和 行为 改变 的 一 个 因素 。 


然而 ， 公 司 需要 持续 的 改变 ， 这 需要 四 个 相辅相成 的 条 件 〈 见 图 4-1) 。 


行为 榜样 促进 理解 、 培 养 信念 


“我 看 到 上 级 、 同 事 、 “我 知道 公司 需要 我 们 做 
下 属 正 以 新 的 方式 从 事 什么 , 我 认同 ， 也 认为 这 是 
工作 ” 有 意义 的 ” 

心态 及 
行为 转变 
培养 人 才 和 人 能力 用 正式 的 机 制 来 强化 

“我 拥有 以 新 的 方式 从 事 “组 织 构架 、 过 程 和 系 

工作 的 技能 ” 统 都 强化 了 行为 的 改变 ， 
这 种 改变 正 是 我 被 要 求 做 
出 的 改变 ” 


图 4-1 将 心态 和 行为 改变 植 入 到 公司 企业 里 


人 们 需要 理解 与 信念 


人 们 要 知道 企业 公司 对 他 们 的 期 待 是 什么 ， 关 键 地 ， 他 们 还 要 认可 那个 期 待 是 有 意义 、 值 得 去 做 的 事情 。 这 就 意味 着 ,要 吸 
引 他 们 去 了 解 之 所 以 网 络 安全 重要 的 原因 、 了 解 他 们 每 个 人 在 保护 公司 财产 中 扮演 的 重要 角色 。 企 业 公司 在 这 一 点 上 的 表现 往往 
相对 较 强 ， 而 其 他 三 个 机 制 基本 上 是 最 需要 改进 的 。 


人 们 需要 有 以 新 方式 工作 的 技能 


举例 来 说 ， 企 业 需要 将 如 何 安全 处 理 文件 相关 的 资料 整合 到 更 广泛 的 培训 与 员工 入 职 日 。 其 中 ， 一 部 分 内 容 可 能 是 基础 技术 
控制 一 一 如 果 某 些 信息 需要 加 密 ， 那 么 需要 提供 (或 者 最 好 是 自动 化 ) 相关 软件 。 另 一 重要 事项 是 ， 在 交流 中 应 不 仅仅 有 “ 什 
么 、 为 什么 ”这 种 类 型 的 谈话 ， 而 是 “如 何 ”， 利 用 具体 事例 帮助 员工 理解 和 接纳 新 行为 。 例 如 ， 一 家 航天 设备 制造 公司 推出 了 
新 的 安全 管理 模块 ， 以 便 一 名 工程 师 加 入 到 需要 与 外 部 制造 伙伴 合作 的 团队 时 ， 能 够 在 了 解 到 协作 方法 、 团 队 计划 等 的 同时 ， 也 
能 了 解 安 全 协议 : 安全 是 核心 训练 的 一 部 分 ， 而 非 辅助 措施 。 


高 级 领导 要 为 新 行为 做 出 榜样 示范 


要 强化 任何 需求 或 行为 、 谋 入 某 个 理念 ， 树 立行 为 榜样 都 是 必 不 可 少 的 ， 领 导 层 需 对 此 非常 认真 对 待 。 一 方面 ， 如 果 有 人 看 
到 领导 (及 领导 的 领导 ) 尊重 客户 信息 ， 而 不 会 在 公共 场合 谈论 敏感 数据 ， 看 到 他 们 在 安全 协议 没有 得 到 遵守 时 表达 不 赞成 ， 那 
么 员工 就 知道 要 认真 对 待 这 些 规则 了 。 另 一 方面 ， 如 果 领 导 都 嘲笑 规定 、 表 现 出 明显 的 怨恨 、 持 有 “与 系统 玩 游戏 ”的 心态 ， 那 
么 官方 的 和 隐 含 的 信息 间 就 出 现 了 冲突 ， 而 很 多 员工 往往 会 与 其 直接 领导 的 观点 一 致 。 


公司 领导 要 利用 奖励 措施 等 正式 的 机 制 来 强化 新 行为 


通常 ， 在 企业 里 ， 对 于 企业 技术 资源 的 严重 滥用 行为 是 有 明显 的 惩罚 措施 的 ， 但 是 对 好 的 网 络 安全 行为 的 奖励 措施 却 鲜 见 。 
很 多 公司 会 测试 有 多 少 员工 回应 钓鱼 攻击 ， 然 而 ， 很 少 有 公司 长 时 间 跟 踪 网 络 钓鱼 命中 率 ， 并 将 此 列 入 高 级 管理 层 的 计 分 卡 与 奖 
励 计 划 中 。 从 最 基本 的 来 说 ， 在 安全 方面 的 表现 可 纳入 绩效 指标 与 对 话 中 。 要 达到 更 大 效果 ， 安 全 行为 可 和 其 他 类 型 风险 一 起 被 
圳 括 进 薪酬 和 绩效 考核 中 。 人 们 倾向 于 优先 考虑 会 受到 衡量 与 奖励 (及 处 罚 ) 的 行为 上 ， 因 此 ， 如 果 网 络 安全 没有 包含 在 内 的 
话 ， 那 么 就 相当 于 向 员工 暗暗 地 传达 信息 ， 什 么 是 安全 需求 优先 考虑 的 因素 。 


在 企业 业务 的 每 一 部 分 一 一 产品 研发 、 市 场 营 销 、 销 售 、 运 营 、 采 购 、HR、 风 险 及 合 规 性 里 ， 政 策 和 流程 影响 着 公司 保护 
自身 信息 资产 的 能 力 。 同 样 重要 的 是 ， 针 对 公司 的 业务 每 个 部 门 一 线 用 户 所 做 的 决策 与 措施 。 


在 政策 、 流 程 及 用 户 行为 方面 做 出 适当 的 改变 ， 需 要 网 络 安全 团队 与 其 他 业务 部 门 的 高 水 平 合作 。 网 络 安全 团队 如 果 姿 态 极 
为 被 动 ， 那 么 就 意味 着 放弃 保护 信息 资产 的 重要 手段 ， 而 没有 其 他 业务 部 门 参与 制定 的 一 系列 规定 ， 会 对 生产 力 产生 极 大 的 消极 


影响 。 


当然 ， 网 络 安全 团队 将 必须 培养 对 业务 实践 与 流程 的 细致 了 解 ， 制 定 切 实 可 行 的 变革 措施 ， 以 保护 信息 资产 。 然 而 ， 他 们 无 
法 单独 完成 这 一 点 。 他 们 需要 高 级 领导 层 的 积极 支持 : 业务 部 门 主管 们 要 辅助 让 客户 产品 、 产 品 设计 及 端 对 端 过 程 与 安全 需求 同 
步 ; 采购 经 理 要 帮助 在 供应 商 安全 需求 与 契约 经 济 间 保 持 适 当 的 平衡 ; 合 规 性 管理 者 要 促进 监管 规定 与 公司 降低 风险 优先 考虑 的 
因素 相 匹 配 ; 每 个 职能 部 门 的 领导 要 沟通 交流 ， 强 化 这 样 的 期 望 : 让 一 线 用 户 理解 他 们 每 天 所 使 用 的 信息 资产 的 价值 并 保护 它 
们 。 


第 5 章 ”将 IT 现代 化 ， 以 确保 IT 安全 性 


如 一 位 医疗 行业 CISO 指 出 的 : “每 个 人 都 喜欢 假 称 确保 安全 性 是 你 需要 做 的 额外 、 人 花费 昂贵 的 事情 。 对 于 良好 的 安全 性 来 
说 ， 重 要 的 只 有 良好 的 IT。 


不 笠 的 是 ， 当 公司 让 网 络 安全 成 为 控制 功能 ， 将 安全 置 于 现 有 的 多 维度 技术 环境 之 上 时 ， 他 们 不 仅 在 客户 端 设 备 上 安装 杀毒 
软件 ， 还 安装 了 一 系列 安全 工具 。 为 了 击 退 攻击 者 ， 他 们 让 网 络 不 仅 包 围 在 防火 墙 之 下 ， 还 有 诸如 入 侵 检 测 及 网 络 过 滤 等 技术 手 
段 。 甚 至 ， 他 们 还 构建 治理 策略 ， 鼓 励 开发 人 员 按照 安全 架构 标准 开发 新 应 用 程序 。 


这 些 措施 很 多 是 完全 有 必要 的 ， 大 幅 提高 了 公司 的 安全 水 平 。 然 而 ， 并 没有 解决 两 个 天 键 性 根本 问题 : 首先 ， 公 司 并 没有 以 
安全 为 基础 设计 技术 环境 ， 使 其 本 质 上 无 法 达到 安全 ， 其 次 ， 一 些 趋势 正 让 技术 环境 变 得 越 来 越 不 安全 ， 而 非 日 益 安全 ( 见 图 5- 
1) 。 


与 制造 商 们 发 现 不 可 能 “从 内 部 检查 质量 ”一 样 ，IT 部 门 越 来 越发 现 很 难 “ 把 安全 性 置 于 上 层 ”， 它 不 能 解决 环境 中 的 巨大 


< 
中 
响 


， 至 少 ， 用 于 弥补 本 质 上 不 安全 的 环境 的 措施 让 用 户 体验 降级 ， 降 低 了 IT 团队 创新 的 能 力 。 


. 不 起 作用 的 企业 场所 远程 用 户 - 移动 设备 不 稳固 的 
毒性 能 。 人 从 个 个 | 个 和 人 
. 扁平 网 络 让 攻击 
者 可 横向 移动 
企业 网 络 
. 敏感 文件 通过 电邮 
存储 或 传输 
- 没有 利用 安全 的 数据 中心 
er 应 用 程序 。 生产 工具 
应 用 程序 a * 不 完备 或 过 时 的 数 
据 中 心目 录 让 识别 
:NT 中 间 件 及 服务 变 得 异常 困难 
来 漏 泣 
服务 器 
存储 


图 5-1 技术 环境 中 广泛 的 组 件 导致 安全 隐患 


很 多 用 于 保护 关键 信息 资产 的 有 较 高 影响 力 的 机 制 ， 涉 及 改变 更 广泛 的 应 用 程序 、 数 据 中 心 、 网 络 或 终端 客户 端 环境 ， 这 些 
领域 是 网 络 安全 团队 可 以 影响 的 ， 即 便 他 们 受 控 于 应 用 程序 开发 和 基础 设施 经 理 。 


将 网 络 安全 嵌入 IT 环境 的 六 个 方法 


思维 最 为 超前 的 公司 已 然 认 识 到 试图 以 零散 方式 添加 安全 措施 面临 的 挑战 ， 并 开始 积极 采取 行动 ， 在 其 技术 环境 的 最 核心 实 
施 安全 保障 措施 。 特 别 是 ， 它 们 加 快 推进 使 用 私有 云 ， 而 且 有 选择 地 使 用 公共 云 服务 ， 从 一 开始 起 就 在 应 用 程序 中 构建 安全 措 
施 ， 虚 拟 化 终端 用 户 设备 ， 实 现 软件 定义 网 络 ， 降 低 使 用 电邮 作为 文件 管理 昔 代 方法 的 概率 。 

这 些 改 进 自然 有 赖 于 安全 团队 之 外 的 部 门 成 功 实施 其 所 引领 的 主要 举措 ， 这 些 措施 的 实现 归于 超越 安全 利益 之 外 的 一 些 综合 
因素 ， 包 括 效率 与 灵活 性 。 


加 快 向 私有 云 的 转移 


在 成 本 降低 与 大 幅 提 高 灵活 性 的 推动 下 ， 大 多 大 型 公司 开始 实施 标准 化 、 共 享 的 、 虚 拟 化 及 高 度 自动 化 的 环境 ， 来 托管 企业 
应 用 程序 。 伴 随 着 其 不 同 的 排列 ， 这 些 就 是 实际 上 所 说 的 “私有 云 ” 1。 早 在 2011 年 ， 我 们 采访 的 近 85% 的 大 型 公司 称 ， 云 计算 
是 它们 的 首要 创新 任务 ，70% 表 示 ， 它 们 要 么 在 计划 ， 要 么 已 经 推出 私有 云 项 目 *。 那 些 更 进一步 的 公司 经 常 发 现 可 以 将 60% 的 
工作 量 3 转移 到 更 能 胜任 、 花 费 更 低 的 私有 云 环境 中 ( 见 图 5-2) 。 


“SaaS 用 于 带 有 明确 定义 的 
软件 即 服务 (SaaS ) 业务 案例 的 特定 应 用 程序 


公共 云 


Ap 


" 具有 强大 安全 屏障 的 公共 
云 /虚拟 私有 云 (VPC ) 


* 用 于 无 合 规 性 问题 的 低 安 
全 级 别 的 应 用 


“ 是 否 合格 由 数据 定义 
“ 对 平台 服务 的 潜在 扩展 


私有 云 


传统 托管 
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图 5-2 ”到 2019 年 ， 私 有 云 将 成 为 主流 模式 


然而 ， 尽 管 如 此 ， 对 于 在 私有 云 环境 托管 应 用 程序 的 益处 仍 存 在 着 争论 。 一 些 网 络 安全 专业 人 士 称 ， 效 率 与 灵活 性 方面 进步 
的 驱动 因素 也 让 攻击 者 利用 企业 网 络 变 得 更 容易 。 虚 拟 化 一 一 将 多 个 操作 系统 的 多 个 映像 共同 放置 在 单一 的 物理 服务 器 上 一 一 
让 恶意 软件 可 从 一 个 工作 负载 扩散 到 另 一 个 工作 负载 。 标 准 化 简化 了 数据 中 心 环境 ， 让 IT 团队 的 工作 更 为 方便 了 ， 但 同时 也 建立 
起 单一 性 安全 保障 ， 让 攻击 者 更 容易 摸 清楚 了 。 同 样 ， 虽 然 自 动 化 可 在 数据 中 心 环境 管理 上 很 大 程度 上 帮助 到 系统 管理 员 ,， 但 
是 ， 如 果 攻 击 者 成 功 获取 了 系统 管理 员 的 登录 信息 的 话 ， 就 会 产生 巨大 破坏 。 


一 些 最 为 尖端 成 熟 的 IT 团队 持 有 与 此 完全 相反 的 观点 。 他 们 推 上 新， 传统 的 数据 中 心 环 境 完全 是 无 法 维持 的 ， 精 心 设计 的 私有 
云 项 目 提供 了 同时 削减 开支 、 增 加 灵活 性 及 安全 性 的 机 会 。 

数据 中 心 复杂 性 滋生 不 安全 性 

资深 (或 至 少 为 任职 时 间 较 长 的 ) 技术 高 管 们 仍旧 记得 数据 中 心 环境 还 很 简单 单一 的 时 候 。 就 在 20 世 纪 90 年 代 初期 ， 甚 至 


一 家 顶级 投资 银行 也 可 能 在 几 个 主机 、 几 十 个 小 型 计算 机 以 及 或 许 上 百 个 Unix 服 务 器 上 运行 所 有 的 业务 应 用 程序 ， 自 那 之 后 ， 
改变 速度 和 程度 便 开 始 令 人 目不暇接 。 


现在 ,同样 的 投资 银行 可 能 仍 只 有 几 台 主机 (每 个 主机 都 有 处 理 更 大 数量 级 命令 的 能 力 ) ， 不 过 ,该 银行 会 在 成 干 上 万 个 物 
理 服 务 器 上 运行 超过 10 万 的 操作 系统 (OS) 映像 。 更 为 重要 的 是 ， 该 银行 的 !T 团 队 要 支持 十 几 甚 至 更 多 的 OS 版 本 (其 中 一 些 已 
经 过 时 多 年 ) 及 几 干 个 配置 ， 这 些 需 要 繁重 的 人 力 劳动 来 维持 。 这 种 复杂 性 ， 让 大 型 企业 越 来 越 难 以 保护 自己 的 数据 中 心 环境 。 


两 个 问题 尤为 令 人 苦恼 。 第 一 个 问题 是 ， 对 复杂 性 的 持续 跟踪 ， 由 于 数据 中 心 环境 处 于 快速 变化 中 ， 对 于 安全 团队 来 说 ， 要 
识别 表明 服务 器 遭 破坏 的 异常 现象 就 困难 了 。 当 公司 每 月 添加 几 百 个 服务 器 映像 、 执 行 数 和 干 个 配置 改变 时 ， 实 际 上 ， 很 难 时 刻 把 
握 数 据 中 心 环境 的 最 新 情况 。 举 例 来 说 ,没有 了 这 些 了 解 ， 安 全 运营 团队 就 更 难 发 现 服 务 器 在 不 应 该 的 时 候 却 向 外 部 传输 数据 
了 。 


第 二 个 问题 是 ， 数 据 中 心 环境 让 及 时 给 商业 软件 安装 安全 补丁 变 得 困难 ， 这 让 服务 器 暴露 于 多 种 新 型 的 攻击 之 下 。 运 行 在 企 
业 数 据 中 心中 的 软件 工具 中 (操作 系统 、 数 据 库 、 中 间 件 、 实 用 程序 及 业务 应 用 程序 ) 中 ， 开 发 者 不 断 发 现 新 的 漏洞 ， 并 发 布 软 
件 更 新 ， 即 补丁 ， 叶 在 解决 这 些 漏洞 。 


安全 专家 布鲁斯 施 奈 尔 (Bruce Schneier) 称 2014 年 出 现 的 “心脏 出 血 ” 漏 洞 为 “灾难 性 的 ”， 原 因 在 于 ， 该 漏洞 可 让 黑 
客 诱骗 敏感 信息 ， 比 如 让 用 户 与 互联 网 应 用 程序 之 间 进 行 加 密 通信 的 开源 工具 OpenSSL 中 的 密码 4。 在 宣布 发 现 该 漏洞 的 几乎 同 
一 时 间 ，OpenSSL 就 提供 了 补丁 ?。 这 是 正常 的 ， 供 应 商 通 常 能 在 发 现 漏洞 当天 推出 可 用 的 补丁 来 修补 八成 的 漏洞 %， 但 是 推出 
补丁 和 公司 使 用 它 来 保护 自己 之 间 有 着 延期 (有 时 很 长 ) ， 而 且 不 是 所 有 的 补丁 都 能 解决 问题 。 比 如 ，2014 年 爆发 的 
Shellshock Bash 漏 洞 ， 其 最 初 的 补丁 很 多 都 被 证 明 是 无 效 的 ， 让 很 多 公司 暴露 在 风险 中 /。 


打 补 本 是 数据 中 心 团队 的 持续 责任 。 举 例 来 说， 微软 每 月 的 第 二 个 周二 针对 其 产品 发 布 安全 补丁 ， 尽 管 在 更 为 紧急 的 安全 情 
况 下 ， 也 会 按 需 发 布 补 本 8。 保持 这 样 是 非常 艰难 的 。 在 一 家 机 构 里 ， 每 周 会 有 补丁 会 议 ， 决 定 接 下 来 需要 怎么 做 。 由 于 没有 完 
整 的 软件 目录 一 一 这 并 不 鲜 见 ， 因 此 不 可 能 将 此 过 程 自动 化 。OS 补 丁 要 非常 快速 地 得 到 应 用 和 分 配 ， 而 对 业务 不 是 很 关键 的 软 
件 的 补丁 只 会 每 个 季度 才 得 到 解决 一 次 ， 当 然 ， 黑 客 正 是 通过 这 些 应 用 程序 获得 访问 权 的 。 在 终端 用 户 设备 及 服务 器 上 ， 一 些 极 
为 脆弱 的 应 用 程序 有 几 十 个 不 同 版 本 ， 要 么 它们 被 认为 是 非 紧急 的 ， 要 么 只 是 因为 前 一 版 本 更 新 后 没有 印 载 。 


IT 高 管 告诉 我 们 ， 人 力 配置 的 限制 ， 意 味 着 团队 没有 时 间 和 资源 对 补丁 进行 测试 ， 以 查看 它们 是 否 安 全 地 得 以 应 用 了 。 脆弱 
的 架构 让 开发 人 员 不 愿 给 一 些 应 用 程序 安装 任何 补丁 ， 除 非 在 最 极端 的 情况 下 。 一 家 银行 的 一 些 系统 曾 出 现 稳定 性 问题 ， 于 是 ， 
该 银行 开始 把 服务 器 列 入 “请 勿 触摸 ”资产 列表 中 ， 系 统 稳定 后 才 会 被 打 补 丁 。 两 年 时 间 里 ， 这 个 “请 勿 触摸 ”的 清单 包含 了 几 
百 个 服务 器 映像 ， 有 几 干 个 补丁 未 应 用 。 银 行 一 次 内 部 审计 中 揭露 了 这 些 情况 ， 于 是 不 得 不 发 起 特殊 的 一 次 性 修复 程序 来 确保 一 
切 安全 。 

在 全 公司 范围 分 配 补丁 既 浪 费时 间 ， 又 需要 大 量 人 力 ， 而 且 一 些 补丁 时 常会 失去 优先 级 地 位 。 所 需 的 改变 数量 意味 着 ， 或 许 
没有 足够 的 维护 窗口 来 安装 所 有 的 补丁 ， 一 般 地 ， 维 护 时 段 处 于 清晨 或 周末 。 供 应 商 还 会 停止 对 过 时 技术 的 支持 ， 也 就 是 说 ， 安 
全 补丁 可 能 对 这 些 公 司 所 使 用 的 软件 已 经 不 适用 。 在 2014 年 ， 微 软 不 再 支持 (2001 年 推出 的 ) Windows XP 系统 ， 然 而 有 超过 
九 成 的 ATM 机 却 还 在 使 用 这 一 过 时 的 系统 2。 

面临 这 些 挑战 ， 企 业 在 补丁 这 个 问题 上 陷入 落后 ， 便 容易 理解 了 。 一 家 保险 公司 发 现 ， 就 安全 补丁 来 讲 ， 其 公司 有 一 半 以 上 
的 服务 器 至 少 落后 了 三 代 ， 使 其 容易 遭受 攻击 者 利用 最 新 发 现 的 漏洞 进行 攻击 的 风险 。 这 家 公司 并 非 个 案 一 一 绝 大 多 数 网 络 破 
坏 都 可 归 因 于 没有 及 时 给 相对 较 少量 的 软件 包 进 行 补丁 10。 

私有 云 或 能 够 让 数据 中 心安 全 

私有 云 是否 能 成 为 减少 隐患 、 提 高 安全 性 的 机 制 ? 如 果 公司 能 恰如其分 地 设计 和 管理 自己 的 私有 云 项 目 ， 它 们 就 能 大 幅 降 低 
数据 中 心 环境 中 的 风险 。 随 着 时 间 的 推移 ， 与 去 有 关 的 高 度 标准 化 硬件 和 软件 应 降低 对 过 时 技术 的 应 用 ， 同 时 ， 补 丁 成 为 标准 供 
应 的 一 部 分 ， 不 会 每 个 服务 器 都 需要 人 工 才能 完成 。 自 动 配置 11 能 减少 会 带 来 隐患 的 配置 错误 风险 ， 也 能 更 容易 在 应 用 程序 上 执 


行政 策 ， 这 些 应 用 能 在 同一 个 服务 器 或 在 整体 网 络 的 一 部 分 上 运行 。 自 动 化 配置 与 标准 化 的 结合 给 整体 环境 带 来 更 大 透明 度 ， 这 
样 更 容易 发 现 异常 现象 ， 这 现象 意味 着 可 能 在 遭受 破坏 。 


一 些 公司 甚至 利用 私有 云 技术 来 促进 精细 的 安全 分 析 法 。 一 家 医疗 保健 公司 利用 私有 云 环境 中 的 虚拟 化 工具 1“ 来 实时 检查 网 
络 流量 ， 并 对 工作 负载 进行 标记 一 一 当 它 们 有 异常 时 ， 或 许 意味 着 感染 了 恶意 软件 。 


然而 ， 对 转移 至 私有 云 会 带 来 新 的 隐患 的 担心 并 非 子虚乌有 。 私 有 云 项 目 需要 仔细 规划 来 构建 安全 性 能 。 举 例 来 说 ， 技 术 先 
进 的 公司 正在 配置 它们 的 环境 ， 来 最 小 化 这 样 的 风险 : 通过 要 求 从 只 读 人 存储 器 运行 虚拟 化 工具 、 限 制程 序 给 虚拟 工具 下 指令 的 方 
式 ， 攻 击 者 一 旦 进入 ， 即 可 从 一 个 系统 跳 转 到 另 一 个 系统 。 它 们 还 将 一 些 运营 人 员 分 离 ， 这 样 ， 如 果 单 一 恶意 内 部 人 士 访问 了 管 
理工 具 ， 可 控制 其 所 能 造成 的 损失 。 不 仅 安 全 团队 必须 从 一 开始 就 要 帮助 设计 安全 措施 ， 而 且 在 私有 云 的 业务 论证 中 ， 安 全 性 注 
意 事项 也 必 起 到 重要 的 作用 。 


明显 的 是 ， 改 用 私有 云 需 要 大 量 投资 和 组 织 变革 。 这 样 会 导致 很 多 公司 的 私有 云 项 目 停滞 ， 高 管 们 也 就 对 改 用 私有 云 的 进度 
与 程度 兴趣 索然 。 


目前 ， 在 这 方面 取得 成 功 的 公司 在 以 下 四 个 方面 表现 突出 。 


(1) 对 于 私有 云 ， 它 们 注重 所 有 业务 高 管 之 间 的 协作 ， 以 确保 通过 将 工作 负载 从 过 期 的 数据 中 心 环境 转移 以 提升 公司 安全 
性 。 一 家 投资 银行 决定 实施 新 版 本 的 私有 云 环 境 ， 这 不 是 因为 它 可 以 提高 潜在 效率 ， 而 是 因为 能 带 来 更 高 的 安全 性 。 


(2) 它们 分 阶段 推出 不 同 功 能 ， 这样， 它们 可 以 随 着 时 间 推 移 而 不 断 了 解 和 建立 新 功能 ， 尤 其 是 ， 每 次 推出 新 功能 ， 它 们 
都 注重 打造 越 来 越 有 吸引 力 的 开发 体验 ， 创 造 对 新 平台 的 需求 。 
(3) 它们 为 云 平 台 构建 并 自动 化 新 的 操作 和 支持 流程 ， 这 样 不 会 复制 上 昌平 台 上 的 低 效 现象 ， 并 有 效 地 扩展 。 


(4) 它们 创建 专项 小 组 ， 该 小 组 得 到 高 级 管理 层 的 支持 ， 以 规定 、 设 计 、 推 出 并 操作 新 的 平台 ， 这 样 ， 与 现 有 的 环境 相 
比 ， 新 平台 不 会 成 为 “马后炮 ”。 


有 意 、 有 选择 地 使 用 公共 云 


几 年 前 ,一 家 重要 的 公共 云 供 应 商 的 多 位 客户 经 理 拜 访 了 世界 最 大 型 银行 之 一 的 基础 设施 主管 ， 他 们 做 了 令 人 叹服 的 展示 ， 
显示 云 平 台 的 投资 额 及 其 功能 的 丰富 性 。 游 说 结束 后 ， 那 位 基础 设施 主管 称赞 这 个 团队 ， 且 只 问 了 一 个 问题 : “我 有 无 法 离开 美 
国 的 数据 ， 我 也 有 无 法 进入 美国 的 数据 ， 我 还 有 无 法 离开 欧盟 的 数据 ， 我 有 无 法 离开 中 国 的 数据 ， 如 果 我 用 你 们 的 服务 ， 我 怎么 
能 确保 这 些 都 做 到 了 呢 ?" 


其 中 一 位 客户 经 理 回答 道 : “这 没有 任何 意义 ， 你 为 何 愿意 这 样 做 生意 呢 ?" 
基础 设施 主管 说 道 : “你 们 看 上 去 都 不 错 ， 何 不 先 回 去 ， 等 你 们 解决 了 这 个 问题 再 来 。” 


正 是 因为 这 个 原因 ， 大 型 企业 不 愿意 使 用 公共 云 服务 (尤其 是 基础 设施 领域 ) 。 他 们 认为 公共 云 服务 供应 商 还 没有 想到 如 何 
提供 企业 级 合 规 性 、 适 应 力 及 安全 性 ,我 们 的 调查 也 支持 了 这 一 点 。 平 均 来 说 ， 因 为 安全 担忧 ， 公 司 推迟 使 用 云 计算 的 时 间 近 
18 个 月 。 在 很 多 次 采访 中 ， 我 们 都 听 到 CIO 及 CISO 担 忧 ， 恶 意 软件 能 从 别 的 公司 的 公共 云 托管 虚拟 服务 器 中 横向 移动 到 自己 的 
公司 ， 因 为 它们 都 在 同一 个 基础 设施 上 运行 。 


不 过 ,如果 公 司 实施 相应 的 机 制 来 将 正确 的 工作 负载 转移 到 合适 的 云 服 务 上 ， 那 么 在 继续 保护 重要 信息 资产 的 同时 ， 完 全 有 
可 能 提供 令 人 振奋 的 可 用 功能 的 。 


如 此 ，IT 团 队 不 能 持 绝对 反对 云 服 务 的 立场 。 鉴 于 供应 商 们 在 新 功能 及 成 本 控制 上 的 资源 投入 ， 尤 其 是 在 我 们 撰写 本 书 时 正 
经 历 一 场 价格 战 ， 未 来 对 这 类 服务 的 需求 将 继续 强劲 。 结 果 ， 一 直 试 图 阻止 使 用 公共 云 服务 的 上 T 团 队 就 会 处 于 颇具 挑战 性 的 位 
置 。 一 方面 ， 商 业 伙伴 会 认为 他 们 是 障碍 一 一 为 那些 一 直 认 为 网 络 安全 阻碍 价值 创造 的 人 获取 利益 。 另 一 方面 ， 鉴 于 公共 云 服 


务 易于 获取 ， 终 端 用 户 甚至 应 用 程序 开发 人 员 将 简单 地 绕 着 或 忽略 企业 政策 行事 。 若 有 信用 卡 的 用 户 访问 公共 云 ， 却 没 人 指导 ， 
他 们 会 选择 安全 功能 较 弱 的 服务 ， 并 使 用 这 些 服务 ， 而 对 此 ， 企 业 并 没有 采取 额外 的 安全 控制 措施 。 


能 在 保护 组 织 机 构 重要 的 信息 资产 的 同时 ， 通 过 提供 公共 云 服 务 来 支持 创新 ， 这 样 的 方法 需要 考虑 以 下 四 个 因素 。 


(1) 信息 资产 的 敏感 程度 。 如 我 们 在 本 书 前 面 所 提 及 的 ， 企 业 数据 的 敏感 程度 有 很 大 的 差异 。 一 些 工作 负载 处 理 非 常 敏感 
的 客户 信息 或 |P， 一 些 处 理 重要 信息 ， 但 是 泄露 这 些 信息 不 会 产生 严重 的 商业 影响 13。 如 果 确 保 只 有 不 敏感 的 工作 负载 转移 到 公 
共 云 了 ， 会 缓解 网 络 安全 管理 人 员 的 担忧 。 


(2) 特定 公共 云 服务 的 安全 功能 。 对 于 公共 云 服务 来 说 ， 其 安全 模型 也 有 着 巨大 差异 。 在 比较 低级 的 一 边 ， 安 全 实践 可 能 
会 被 礼 狐 地 形容 为 “消费 级 ”， 另 一 边 ， 我 们 看 到 供应 商 使 用 强 有 力 的 边界 保护 、 加 密 静 止 数据 、 对 操作 员 如 何 及 何 时 能 访问 客 
户 数据 实行 严格 控制 。 因 此 ， 选 择 正 确 的 供应 商 极为 重要 。 

(3) 内 部 类 似 功 能 的 安全 性 。 当 企业 询问 网 络 安全 团队 公共 云 服务 的 安全 性 时 ， 得 到 的 回应 肯定 是 “与 什么 相 比 ”。 很 多 
时 候 ， 公 共 云 服务 可 能 比 公司 战略 数据 中 心 的 服务 要 更 具 风 险 ， 但 是 ， 它 同时 又 比 内 部 区 域 IT 团 队 托 管 的、 多 年 缺乏 资金 支持 的 
类 似 服务 要 安全 得 多 。 

(4) 对 公共 云 服务 的 潜在 改进 。 很 多 初创 公司 竞相 开发 技术 ， 通 过 对 传送 到 云 供应 商 或 整个 去 会话 的 数据 进行 加 密 ， 让 企 
业 可 以 安全 地 使 用 公共 云 服 务 ， 并 且 人 允许 企业 保留 解码 所 需 的 密 钥 。 

一 家 寻求 开发 云 策略 的 运输 公司 识别 了 所 有 经 营业 务 所 需 的 工作 负载 ， 按 照 关 键 需求 ， 包 括 所 处 理 数 据 的 敏感 程度 ， 对 每 一 
个 工作 负载 进行 了 评估 。 接 着 ， 该 公司 可 以 将 每 个 工作 负载 映射 到 一 个 托管 模型 : 传统 托管 、 私 有 云 、 软 件 即 服务 (SaaS) 或 
公共 云 基础 设施 ( 见 图 5-3) 。 对 于 可 以 托管 在 SaaS 或 公共 云 基础 设施 的 工作 负载 ， 该 公司 识别 特定 的 、 在 安全 方面 可 以 至 少 匹 
配 其 自身 内 部 功能 的 供应 商 ， 接 着 ， 审 查 可 让 额外 软件 运用 于 公共 服务 的 方法 ， 以 更 多 地 提升 安全 性 。 


企业 适用 性 


可 行 性 
与 成 熟 度 


节省 潜力 


适应 力 


安全 性 


合 规 性 


图 5-3 ”如 何 评估 公共 云 服务 与 其 他 选择 


在 应 用 程序 中 构建 安全 性 能 


此 前 ， 当 员工 在 单位 内 部 工 位 上 访问 企业 应 用 程序 时 ， 应 用 安全 便 没 有 那么 重要 了 。 如 今 ， 公 司 无 法 控制 这 种 明显 的 传统 实 
体 企 业 边 界 了 ， 具 有 较 高 功能 性 的 应 用 程序 可 被 客户 及 员工 访问 ， 因 为 他 们 都 希望 任何 时 候 、 任 何 地 点 都 可 访问 。 结 果 就 是 ， 黑 
客 可 以 利用 应 用 程序 级 攻击 ， 通 过 提供 进入 应 用 程序 路 径 的 网 络 浏览 器 来 进入 应 用 程序 。 例 如 ， 在 公司 的 在 线 银行 应 用 程序 中 ， 
由 于 开发 者 通过 浏览 器 栏 暴露 了 敏感 数据 ， 结 果 黑 客 可 以 从 银行 挖掘 到 客户 数据 。 


对 于 外 行人 或 者 没有 IT 背景 的 董事 会 成 员 来 说 ， 这 听 上 去 是 开发 人 员 犯 下 的 基本 错误 。 实 际 上 ， 是 因为 应 用 开发 人 员 不 懂得 
如 何 写 或 测试 安全 代码 ; 大 多 计算 机 专业 课程 不 要 求 很 多 信息 安全 培训 ， 现 有 的 课程 更 像 是 各 种 实践 的 复 选 框 ， 而 非 浸 入 式 课 程 
那样 教 人 安全 应 用 开发 所 需 的 解决 问题 的 方法 。 举 例 来 说， 很 多 开发 团队 不 遵循 最 佳 实践 ， 不 利用 库 来 浏览 已 知 的 代码 漏洞 ， 或 
作为 每 日 构建 的 一 部 分 来 运行 它们 。 而 且 ， 安 全 功能 经 常会 不 在 议程 表 中 ， 因 为 人 手 不 足 的 团队 跑 去 实现 业务 功能 了 。 甚 至 情报 
机 构 要 求 取消 严格 的 密码 功能 的 优先 级 ， 这 样 时 间 可 以 用 来 改进 应 用 程序 的 用 户 界 面 。 


此 外 ， 很 多 公司 的 身份 和 访问 管理 (1&AM ) 功能 较 弱 ， 这 一 功能 可 以 验证 哪些 用 户 可 以 访问 什么 应 用 程序 。 应 用 程序 可 能 
利用 自制 或 过 时 的 1&AM 及 一 系列 不 同 的 功能 ， 这 样 ， 实 施 常见 的 密码 策略 就 更 难 了 ， 这 要 求 用 户 记 住 一 系列 密码 。 一 家 工业 公 
司 发 现 ， 资 深 管理 人 员 不 得 不 使 用 多 达 20 个 密码 ; 一 些 人 把 密码 记 在 笔记 本 上 或 保存 在 电脑 文件 里 就 不 足 为 奇 了 。 


IT 的 最 后 问题 是 遗留 应 用 程序 可 早 于 开发 安全 代码 实践 的 日 期 。 一 家 保险 公司 对 网 络 安全 设置 进行 评估 后 发 现 它 很 好 地 保护 
着 新 的 应 用 程序 ， 但 是 应 用 程序 的 待 办 事项 列表 中 数量 达到 几 干 ， 无 法 得 到 安全 保护 和 有 效 利用 成 本 。 


虽然 ， 比 起 解决 网 络 或 终端 设备 等 其 他 技术 问题 ， 提 高 应 用 程序 级 别 的 安全 性 可 以 是 更 具 挑 战 性 的 组 织 变革 ， 但 一 些 公司 已 
经 找到 有 效 的 实践 ， 可 以 帮助 它们 改善 情况 : 


.把 对 安全 编码 实践 和 解决 安全 问题 的 指导 合并 到 从 开发 培训 中 ， 且 从 员工 入 职 第 一 天 开始 就 这 样 做 ， 一 家 金融 机 构 将 开发 者 培训 时 间 的 1/4 
于 安全 相关 问题 的 培 ; 


和 
:把 丰富 的 安全 工具 和 《用 于 代码 扫描 、 安 全 监控 及 I&AM) 应 用 程序 界面 (application program interfaces，API) 构建 到 开发 环境 中 
去 ， 这 有 助 于 开发 人 员 用 于 保护 应 用 安全 的 额外 时 间 最 小 化 。 


“利用 渗透 测试 不 断 挑 战 应 用 程序 组 合 。 一 家 银行 有 一 个 由 50 位 安全 专家 组 成 的 团队 ， 他 们 只 负责 像 攻击 者 那样 努力 "非法 闻 入 该 公司 应 用 ， 


o 


“创建 敏捷 团队 ， 将 其 作为 推动 改变 的 强迫 手段 ， 并 确保 安全 需求 被 纳入 敏捷 方法 学 中 。 


或 许 ， 最 为 重要 的 是 ， 认 真 对 待 精 益 应 用 开发 。 把 精益 运营 技术 应 用 于 应 用 程序 开发 及 维护 ， 这 可 提高 20%~35% 的 生产 
力 ， 同 时 ， 这 还 能 通过 较 早 地 召集 起 所 有 利益 相关 者 、 稳 定 需求 、 在 开发 与 维护 过 程 中 把 质量 放 在 第 一 位 ， 来 降低 应 用 程序 中 的 
安全 漏洞 14。 


近 平 无 处 不 在 的 终端 用 户 虚 拟 化 


虽然 网 络 攻击 者 拥有 各 种 创造 力 与 智慧 ， 但 在 很 多 攻击 中 ， 一 个 常见 的 情况 仍 不 变 的 是 他 们 的 起 点 : 攻击 者 给 某 公司 一 位 职 
员 发 送 网 络 钓鱼 电邮 ， 当 这 名 员工 点 击 了 链接 ， 他 被 带 到 一 个 网 站 ， 该 网 站 可 在 员工 设备 上 安装 恶意 软件 ， 这 时 ， 攻 击 者 就 进来 
了 。 

网 络 安全 团队 曾经 依赖 于 杀毒 软件 来 保护 台式 机 和 笔记 本 电脑 免 受 恶意 软件 的 侵袭 ， 但 是 两 方面 的 发 展 降 低 了 这 个 模型 的 有 
效 性 。 恶 意 软 件 技术 的 进步 ， 意 味 着 越 来 越 多 的 恶意 软件 可 以 从 杀毒 软件 身边 偷偷 溜 过 去 ， 并 且 随 着 员工 期 望 在 任何 地 方 都 能 
作 ， 公 司 必 须 管理 带 有 新 型 安全 隐患 的 新 型 客户 端 设备 ， 特 别 是 手机 和 平板 电脑 。 结 果 ， 技 术 先 进 的 企业 机 构 不 得 不 转 至 虚拟 终 
端 环境 ， 在 这 个 环境 中 ， 传 统 终端 和 移动 终端 用 户 设 备 只 是 简单 地 显示 信息 、 收 集 用 户 输入 ， 但 基本 不 会 存储 下 来 。 


曾经 ， 领 导 企 业 的 CISO 称 ， 他 们 之 所 以 继续 使 用 杀毒 软件 ， 基 本 上 出 于 虚荣 心 。 过 去 ， 杀 毒 软件 包 常 常 拿 一 个 软件 的 可 执 
行文 件 与 已 知 恶意 软件 的 数据 库 作 比较 ， 以 决定 该 软件 是 否 安全 。 现 在 ， 既 然 网 络 攻击 者 已 经 开发 出 可 随 着 时 间 改 变形 式 的 恶意 
软件 ， 这 种 与 黑 名 单 作 比较 的 方法 变 得 不 再 有 效 。 结 果 ， 很 多 CISO 称 ， 他 们 继续 付 钱 购 买 杀毒 工具 ， 几 乎 就 是 为 了 安抚 监管 机 
构 ， 或 只 是 为 了 万 一 能 阻止 其 他 方式 不 能 防止 的 简单 攻击 。 当 美国 著名 杀毒 工具 开发 公司 赛 门 铁 克 的 主管 在 《华尔街 时 报 》 上 发 
表 的 文章 中 宣布 杀毒 模型 已 死 ， 有 关 杀 毒 效果 的 讨论 终于 结束 了 1>。 


随 着 杀毒 工具 在 台式 机 和 笔记 本 上 的 有 效 性 变 弱 ， 企 业 移动 化 的 兴起 呈现 出 了 全 新 的 挑战 。 回 溯 至 2009 年 ， 没 人 知道 何 为 
平板 电脑 ， 如 今 ， 平 板 电脑 非常 普遍 ， 住 豪华 套房 的 人 们 用 它 ， 移 动 化 专业 人 士 也 在 使 用 。 到 2017 年 ， 在 近 4 亿 台 平 板 电脑 的 全 
球 市 场 上 ， 企 业 购 买 量 将 占 近 两 成 16。 


我 们 听 到 CISO 一 次 又 一 次 表达 出 担忧 ， 他 们 担忧 把 智能 手机 和 平板 电脑 连 入 企业 网 络 的 软件 的 不 成 熟 与 脆弱 。 集 成 来 自 多 
个 不 同 供应 商 的 移动 设备 管理 、 虚 拟 私有 网 络 (VPN) 及 其 他 软件 可 为 攻击 者 创造 出 可 加 以 利用 的 缝 阶 。 此 外 ， 在 企业 环境 中 
使 用 移动 设备 所 需 的 复杂 人 工 过 程 ， 增 加 了 这 样 的 可 能 性 : 安全 政策 在 任何 给 定 的 设备 上 不 会 得 到 正确 实施 ， 这 可 为 攻击 者 创造 
额外 的 落脚 点 。 带 上 自己 的 设备 方案 (员工 将 自己 的 平板 电脑 及 智能 手机 用 于 工作 目的 ) 及 令 人 眼花 绑 乱 的 设备 和 客户 端 Os 版 
本 的 大 量 产生 (尤其 是 在 安 卓 生态 系统 中 ) ， 让 安全 操作 更 加 难 上 加 难 。 


这 些 挑战 不 仅 激化 了 面向 移动 化 与 促进 创新 闻 的 矛盾 ， 还 激化 了 移动 化 与 确保 设备 和 网 络 安全 的 矛盾 。 一 家 保险 公司 的 
CISO 表 示 在 后 续 日 子 里 ， 他 多 次 被 董事 会 成 员 叫 到 现场 ， 他 们 首先 让 他 保证 不 会 发 生 网 络 破坏 ， 然 后 却 又 抗议 没有 批准 他 们 在 
平板 电脑 上 浏览 董事 会 文件 。 


虚拟 化 客户 端 


在 虚拟 化 的 模型 中 ， 用 户 设备 (台式 机 、 笔 记 本 电脑 、 平 板 电脑 或 智能 手机 ) 不 执行 操作 ， 只 是 捕捉 输入 、 显 示 输 出 (比如 
视频 、 音 频 ) 。 基 础 OS 运 行 在 企业 数据 中 心 的 服务 器 上 ， 该 数据 中 心 能 得 到 有 效 保 护 ， 这 意味 着 ， 不 管用 户 身 处 在 什么 位 置 ， 
终端 用 户 设备 总 是 在 网 络 边界 内 部 运行 。 通 过 网 络 过 滤 、 入 侵 检测 及 恶意 软件 控制 等 手段 ， 这 些 设备 得 到 保护 ， 数 据 保持 安全 。 
即便 设备 受到 恶意 软件 的 侵害 ， 也 容易 清理 OS。 设 备 也 没有 通过 VPN 来 连接 企业 的 需要 ， 因 为 VPN 具 有 复杂 性 且 缺 乏 透 明度 。 
此 外 ， 由 于 没有 数据 位 于 客户 端 设 备 上 ， 因 此 ， 如 果 一 个 设备 丢失 或 被 盗 的话 几乎 不 构成 风险 。 


大 部 分 企业 仍 利用 移动 设备 管理 来 为 平板 电脑 及 智能 手机 提供 基本 的 电邮 、 联 系 方式 、 日 历 同 步 等 服务 。 当 用 户 需 要 在 自己 
的 移动 设备 上 添加 更 为 精细 的 服务 (比如 访问 企业 应 用 程序 、 分 享 文档 仓储 库 ) 时 ， 企 业 可 能 无 从 选择 ， 只 好 为 智能 手机 和 平板 
电脑 带 去 虚拟 化 。 


不 过 ， 虚 拟 化 不 仅仅 适用 于 移动 设备 。 各 公司 日 益 将 同样 的 原理 应 用 于 台式 机 客户 端 ， 这 可 以 带 来 附加 利益 ， 尤 其 对 用 户 体 
验 来 说 相当 重要 。 开 始 使 用 新 的 设备 几乎 成 为 瞬间 即 可 发 生 的 事 ， 完 整 的 用 户 桌 面 环境 (应 用 程序 、 设 置 、 数 据 ) 都 可 以 随时 随 
地 伴随 着 用 户 ， 消 除了 必须 要 带 着 笔记 本 电脑 去 差 旅 的 需要 。 如 操盘手 、 工 程 师 、 数 据 分 析 员 等 高 级 用 户 也 会 发 现 ， 由 于 应 用 程 
序 运 行 在 强大 的 服务 器 上 ， 而 非 自己 的 台式 机 硬件 上 ， 他 们 能 享受 到 更 快 的 处 理性 能 。 


在 这 方面 ， 金 融 机 构 可 谓 引 领 潮流 ， 他 们 很 多 正在 将 七 八成 的 终端 用 户 环境 转移 至 虚拟 桌面 ， 很 大 程度 上 改进 控制 、 降 低 风 
险 。 很 多 时 候 ， 这 些 银 行 会 从 高 风险 用 户 开始 ， 比 如 财富 管理 财政 顾问 (他 们 可 能 是 独立 代理 ， 而 非 雇员 ) 。 相 对 较 小 部 分 、 经 
常 出 差 的 用 户 将 继续 使 用 传统 的 笔记 本 电脑 ， 不 过 ， 一 些 IT 高 管 认为 ， 随 着 无 线 的 普及 以 及 时 间 变 迁 ， 即 便 这 也 变 得 没 那么 必要 
了 。 


一 些 最 大 型 的 律师 事务 所 在 金融 服务 客户 的 推动 下 也 做 出 积极 的 行动 ， 虚 拟 化 桌面 基础 结构 ， 这 也 是 为 了 控制 和 风险 的 原 
因 。 纽 约 一 家 大 型 律师 事务 所 完全 转移 到 了 虚拟 桌面 : 当 一 名 律师 在 家 或 客户 端 站 点 从 事 工作 ， 他 只 需要 通过 网 络 浏览 器 登录 虚 
拟 桌面 即 可 。 该 律师 事务 所 几 年 前 就 已 经 关闭 了 其 VPN。 


我 们 采访 的 大 多 基础 设施 领导 层 都 传达 了 早 部 署 虚拟 桌面 的 好 经 验 ， 要 想 让 性 能 和 稳定 性 达到 企业 级 水 平 也 是 容易 实现 的 
事 。 不 过 ， 在 经 济 方面 ， 各 公司 不 能 达成 共识 。 由 于 后 端 主机 成 本 ， 一 些 公司 认为 虚拟 桌面 与 传统 桌面 的 花费 所 差 无 几 ， 或 者 说 
还 比 传统 的 稍微 高 些 。 然 而 ， 另 一 些 公 司 表示 ， 由 于 较 低 的 安装 和 支持 成 本 ， 它 们 在 虚拟 桌面 上 的 花费 比 传统 环境 节省 了 三 成 ， 
于 是 ， 它 们 计划 久而久之 要 将 大 部 分 用 户 基础 转移 到 虚拟 桌面 服务 上 。 关 于 成 本 ， 之 所 以 会 产生 这 两 种 不 同 的 观点 ， 似 乎 源 于 虚 
拟 桌 面 解决 方案 的 不 同 (比如 ， 用 户 是 获得 一 人 台 “ 精 简 ” 设 备 还 是 完备 的 笔记 本 电脑 、 每 位 用 户 分 配 到 多 少 存 储 空间 ) 以 及 后 端 
主机 环境 的 效率 。 


强制 用 户 通过 虚拟 设备 访问 企业 服务 项 目 ， 会 造成 很 不 同 的 用 户 体验 ， 很 难 分 开 他 们 的 工作 和 个 人 信息 ， 但 是 这 能 让 企业 提 
供 极其 丰富 的 移动 服务 ， 并 对 安全 性 感到 有 信心 。 


利用 软件 定义 网 络 来 划分 网 络 


既然 没有 人 能 消除 隐患 ， 那 么 限制 攻击 者 从 技术 网 络 的 一 个 受 感染 节点 转移 至 下 一 个 的 能 力 ， 就 变 得 至 天 重要 ， 这 种 转移 被 
称 为 “横向 移动 ”， 随 着 企业 网 络 环境 的 演变 ，“ 横 向 移动 ” 变 得 越 来 越 难 以 防范 ，IT 团 队 面临 着 艰难 的 选择 : 防止 攻击 者 扩大 
范围 还 是 推出 较 多 操作 复杂 性 。 


从 历史 上 讲 ， 随 着 公司 企业 不 断 加 强 上 团队， 他们 将 企业 网 络 融合 ， 紧 紧 联 系 起 部 门 网 络 及 各 种 收购 中 获得 的 网 络 。 不 同 网 
络 使 用 不 同 的 构架 、 不 同 的 技术 标准 ， 某 些 时 候 也 有 不 同 的 协议 ， 网 关 和 防火 墙 让 他 们 彼此 隔绝 ， 这 就 造成 了 复杂 性 和 低 效 率 ， 
有 损 网 络 性 能 。 网 络 经 理 不 得 不 手动 改变 配置 ， 来 安装 新 的 应 用 程序 ， 执 行 详细 的 分 析 ， 识 别 不 同业 务 部 门 管理 的 站 点 之 间 通 信 
速度 慢 的 根本 原因 。 


在 过 去 10 年 里 ， 大 多 大 型 企业 都 简化 了 网 络 。 一 家 全 球 性 金融 机 构 从 有 25 个 网 络 变 成 只 有 两 个 ， 每 年 可 节省 5000 多 万 美 
元 。 一 家 制药 公司 建立 起 一 个 全 球 扁平 网 络 ， 这 么 做 的 原因 是 ， 从 秘 合 到 马达 加 斯 加 ， 他 们 想 要 全 球 任意 两 个 办 公 场 所 之 间 都 能 
进行 无 颖 视频 会 议 (不 用 去 评估 在 秘鲁 有 多 少 位 高 管 要 与 马达 加 斯 加 的 高 官 进 行 视频 会 议 ) 。 不 过 ， 简 化 网 络 有 个 弊端 : 会 产生 
更 多 进入 网 络 的 入 口 点 。 


随 着 企业 整合 供应 链 与 供应 商 ， 将 技术 能 力 更 多 地 提供 给 客户 ， 在 他 们 自己 与 商业 伙伴 间 创 造 了 更 直接 的 网 络 连 接 。 这 样 ， 
投资 银行 可 以 为 大 宗 经 纪 业 务 客户 提供 所 需 的 性 能 ， 制 药 公司 可 以 与 科研 伙伴 紧密 合作 。 然 而 ， 这 也 给 攻击 者 更 多 可 乘 之 机 ， 他 
们 有 机 会 从 一 家 企业 网 络 移 向 男 一 家 ， 对 于 网 络 或 安全 运营 团队 来 说 ， 他 们 需要 监控 更 多 的 网 络 入 口 点 了 。 攻 击 者 一 旦 进入 到 这 
个 环境 中 ， 他 就 能 看 到 所 有 其 他 系统 ， 这 样 ， 他 们 更 容易 分 析 和 搞 破坏 。 亲 得 满 城 风雨 的 塔 吉 特 受 攻击 一 事 ， 就 是 因 其 一 个 供应 
商 而 起 ， 该 供应 商 只 想 访问 计 费 系统 ， 却 不 经 意 间 访问 了 销售 网 点 系统 。 一 旦 攻击 者 攻击 了 这 个 供应 商 的 安全 系统 ， 突 然 间 便 也 
可 以 访问 塔 吉 特 的 内 部 数据 ， 而 这 些 数据 是 永远 都 不 该 对 外 界 可 见 的 。 


一 项 尤为 重要 的 潜在 隐患 是 ， 安 全 控制 本 身 位 于 它们 要 保护 的 网 络 上 。 将 它们 分 段 是 最 容易 的 一 件 事 ， 有 必要 这 么 做 ， 否 
则 ， 技 术 先 进 的 黑客 一 旦 进入 某 企业 组 织 的 网 络 第 一 件 要 做 的 事情 就 是 ， 让 受 攻 击 者 没 办 法 跟踪 他 。 


在 安全 性 与 简化 之 间 找 到 中 间 地 带 


抑制 横向 移动 的 传统 方法 是 网 络 分 段 ， 但 是 这 看 上 去 像 是 缓冲 步骤 ， 还 去 除了 网 络 简化 可 带 来 的 一 些 来 之 不 易 的 好 处 。 确 
实 ， 将 两 个 业务 部 门 服务 器 分 成 两 个 独立 的 网 段 会 大 幅 降低 攻击 者 从 一 个 服务 器 移 至 另 一 个 服务 器 的 风险 ， 但 是 也 意味 着 安全 团 
队 需 要 改变 防火 墙 (用 他 们 所 有 时 间 和 精力 ) ， 之 后 两 个 业务 应 用 才能 共享 数据 。 


很 多 公司 寻求 找到 中 间 地 带 ， 实 施 可 以 提供 某 种 程度 分 段 的 措施 ， 主 要 针对 的 是 那些 最 为 重要 的 信息 资产 ， 而 且 ， 同 时 不 带 
来 太 多 的 操作 复杂 性 。 一 些 公司 确实 注重 保护 最 重要 资产 的 一 部 分 ， 比 如 ， 一 家 工业 公司 决定 将 网 络 进行 划分 ， 最 敏感 |P 使 
用 “安全 性 较 高 ”的 网 络 ， 其 他 使 用 安全 性 较 低 的 网 络 。 其 他 一 些 公 司 利用 的 是 没 那么 繁重 的 技术 ， 依 赖 于 防火 墙 及 网 关 来 划分 


网 络 。 一 家 银行 有 针对 性 的 使 用 网 络 分 段 ， 给 一 些 最 重要 的 信息 资产 提供 差别 保护 ， 他 们 创建 了 独立 的 网 络 域 ， 来 托管 支持 支付 
过 程 的 系统 ， 这 些 系统 被 认为 是 敏感 的 ， 同 时 ， 较 为 不 敏感 的 ATM 机 仍 在 这 一 网 络 域外 。 


从 根本 上 说 ， 所 有 这 些 策略 都 是 折 中 办 法 ， 既 没有 达到 操作 简易 性 的 目标 ， 也 不 足够 减少 攻击 者 横向 运动 风险 ， 对 此 的 对 策 
就 是 要 采用 软件 定义 网 络 (SDN) 。SDN 可 分 离 决定 ， 传 输 流量 的 底层 系统 从 哪里 发 送 网 络 流量 (如 来 自 数据 层 的 控制 平 
台 ) 。 就 实际 情况 而 言 ，SDN 可 让 组 织 机 构 在 软件 中 创建 一 个 网 络 ， 而 非 在 底层 硬件 配置 中 创建 。 这 意味 着 ， 网 络 可 通过 一 套 
APl 来 管理 ， 不 同 的 网 络 配置 库 可 存储 起 来 以 便 再 用 。 


任何 人 都 不 该 抱 有 幻想 ， 实 施 SDN 是 个 巨大 的 变革 ， 需 要 投资 于 新 硬件 、 新 操作 流程 、 新 的 管理 能 力 ， 但 也 会 带 来 巨大 的 
效益 ， 由 于 生产 力 大 幅 提高 和 利用 商品 化 的 硬件 ， 可 节省 6~ 8 成 数据 中 心 网 络 成 本 。 由 于 更 容易 设立 网 络 域 、 快 速 自动 地 分 段 ， 
还 非常 有 助 于 防止 横向 移动 ， 这 样 便 不 必 在 效益 和 网 段 划 分 之 间 艰 难 抉择 了 。 


利用 专门 的 文档 管理 及 工作 流 工具 代 蔡 电邮 


一 些 CISO 表 示 ， 他 们 对 公司 保护 存储 在 数据 库 中 的 结构 化 数据 充满 信心 ， 但 是 却 会 因 担 心 极为 敏感 信息 而 睡 不 着 党 一 一 高 
管 们 会 用 电邮 附件 形式 来 回 相互 传输 。 该 公司 数据 中 有 越 来 越 多 的 文档 ， 很 多 用 来 保护 结构 化 数据 的 控制 方法 不 太 适 用 ， 一 些 公 
司 开始 管控 这 类 数据 ， 通 过 创建 和 授权 使 用 尖端 的 功能 来 管理 敏感 文档 。 在 这 一 点 上 ， 很 多 公司 需要 赶 上 他 们 。 


有 关 数 百 万 客户 记录 被 盗 的 事件 通常 都 能 成 为 媒体 头条 。 这 对 受 波及 的 公司 是 一 件 非 常 尴 炊 的 事 ， 然 而 ， 公 司 的 一 些 最 为 敏 
感 、 最 为 有 价值 的 企业 战略 信息 就 在 文档 中 或 仅 为 纯 文本 形式 。 高 层 管理 者 通过 电邮 分 享 或 他 们 在 桌面 创建 的 图 像 ， 相 互 之 间 沟 
通 有 关 并 购 目 标 、 要 进入 的 市 场 、 经 莒 策略 、 裁 员 、 谈 判 、 出 让 股权 或 公司 的 一 部 分 等 内 容 。 经 理 和 分 析 师 还 是 通过 电邮 及 在 桌 
面 创建 的 电子 表格 来 就 经 营 计划 、 评 估 模 型 、 财 务 预测 、 定 价 策略 等 进行 写作 。 一 旦 所 有 这 些 非常 敏感 的 文档 得 以 创建 ， 他 们 
的 “归宿 ”要 么 是 在 邮箱 收 件 箱 ， 要 么 就 在 文件 共享 中 了 ， 这 十 分 常见 。 


要 保障 这 种 文档 的 安全 性 极为 复杂 ， 原 因 在 于 ， 公 司 没有 什么 控制 措施 ， 无 从 得 知 有 谁 打开 、 更 改 及 传输 它们 了 。 很 多 时 
候 ， 所 有 部 门 都 能 访问 存 有 敏感 文档 的 共享 文件 来 。 任 何 高 管 或 经 理 都 能 访问 重要 的 战略 文档 ， 而 且 可 能 对 其 敏感 性 不 加 考虑 就 
转发 给 几 十 个 人 。 在 一 家 公司 的 环境 中 ， 一 个 文档 出 现 的 地 方 越 多 ， 攻 击 者 就 越 容易 找到 它 。 内 部 人 士 威胁 就 更 为 显著 了 一 一 
越 多 的 人 可 访问 文档 ， 就 越 有 可 能 出 现 文档 被 人 不 当 利用 的 情况 。 


在 解决 这 个 问题 上 取得 进展 的 企业 ， 已 经 从 根本 上 改变 了 使 用 这 样 文档 的 员工 的 工作 方式 。 律 师 事务 所 可 能 有 着 在 技术 方面 
是 落后 者 的 名 声 ， 但 在 解决 这 个 问题 上 ， 他 们 取得 了 最 大 的 进步 。 在 客户 需求 的 驱使 下 ， 现 在 ， 大 多 大 型 律师 事务 所 普遍 使 用 文 
档 管理 工具 。 如 果 一 位 律师 要 处 理 某 位 客户 的 问题 ， 他 就 必须 在 文档 管理 平台 内 创建 所 有 相关 的 文档 。 这 意味 着 ， 他 的 同事 中 只 
有 一 小 部 分 可 访问 其 中 的 文档 ， 这 样 就 降低 了 攻击 者 获取 律师 凭证 后 产生 的 影响 。 或 许 更 为 重要 的 是 ， 严 格 的 文件 管理 措施 ， 能 
让 律师 所 了 解 到 谁 访问 、 传 输 、 改 变 着 客户 资料 ， 这 样 ， 内 部 人 士 就 更 难 利用 客户 信息 而 不 被 发 现 了 。 文 档 管理 系统 还 可 向 元 数 
据 插 入 有 关 文 档 含有 敏感 信息 的 标记 。 这 就 让 数据 遗失 保护 (DLP) 工具 更 加 容易 对 用 户 发 邮件 或 打印 文档 的 不 当 行 为 加 以 阻 
止 。 


在 保护 最 敏感 的 信息 方面 ， 一 些 其 他 公司 走 得 更 远 一 些 。 一 家 石油 和 天 然 气 公司 不 再 利用 电邮 明文 的 形式 讨论 有 关 开 采 权 谈 
判 策略 ， 而 是 用 有 数字 版 权 管理 (DRM) 保护 的 文档 ， 这 就 降低 了 未 经 授权 方 能 看 到 公司 为 某 资产 的 最 高 出 价 的 风险 。 一 家 制 
造 企业 对 传送 给 供应 商 的 包含 技术 规格 的 资料 实施 了 DRM ， 这 就 让 不 当 转 发 信息 变 得 难 多 了 ， 原 因 在 于 ， 因 为 有 DRM ， 如 果 用 
户 没有 文档 创建 者 的 授权 ， 是 无 法 打开 、 打 印 或 复制 文件 的 。 


如 本 章 讨论 的 其 他 安全 性 上 的 改进 一 样 ， 要 保护 非 结构 化 的 数据 ， 非 网 络 安全 功能 部 门 要 做 出 重大 变革 ， 这 就 是 说 ， 这 么 做 
之 后 不 一 定 意味 着 会 出 现 用 户 体 验 变 差 的 情况 。 在 每 个 人 都 会 抱怨 邮件 超载 的 世界 里 ， 有 多 少 怨 气 是 因为 单一 文档 一 个 接着 一 个 
版 本 积压 在 收 件 箱 里 ? 高 管 、 经 理 及 其 他 同行 有 多 少时 间 花 费 在 试图 寻找 文档 的 最 新 版 本 或 从 复杂 的 邮件 跟 帖 中 提取 评论 ? 设计 


良好 的 文档 管理 功能 以 其 浏览 、 标 记 、 搜 索 功 能 ,能 让 人 们 很 容易 便 找到 要 找 的 文档 ， 协 作 工 具 让 聚合 与 反馈 变 得 容易 得 多 了 。 
这 是 思维 方式 的 改变 ， 而 且 一 旦 采纳 便 可 证 明 其 很 受 欢迎 。 


为 实现 所 需 的 改变 ， 与 IT 领导 合作 


出 于 很 明显 的 原因 ， 关 注 企业 IT 或 把 IT 基础 设施 主管 设 定 为 主角 的 小 说 相对 较 少 。《 凤 凰 计划 》1 是 一 本 伪装 为 小 说 的 商务 
书籍 ， 类 似 于 20 世 纪 80 年 代 的 管理 学 经 典 《 目 标 》13。《 目 标 》 描 述 了 一 位 陷入 困境 的 运营 高 管 发 现 ， 要 移 除 限制 以 便 按照 顾 
客 的 要 求 高 效 而 有 效 的 交付 成 品 ， 与 其 类 似 ，《 凤 凰 计划 》 讲 述 一 位 陷入 困境 的 !T 高 管 发 现 ， 要 移 除 限制 以 便 快速 部 署 和 扩充 重 
要 的 电子 商务 平台 来 挽救 企业 。 在 故事 的 开头 ，CISO 自 己 就 是 最 大 障碍 之 一 ， 不 断 地 在 发 布 产 品 前 提出 问题 或 是 要 求 添加 原始 
构架 计划 之 外 的 额外 控制 。 他 那 身 过 时 的 服装 暗喻 出 他 过 时 的 思维 。 书 的 末尾 ， 和 其 他 所 有 IT 高 管 及 商业 伙伴 都 认识 到 要 用 新 方 
法 运营 一 样 ， 这 位 CISO 也 开始 将 衣柜 里 的 衣服 升级 ， 开 始 作 为 有 价值 的 同僚 与 团队 其 他 人 合作 。 


多 年 里 ， 该 书 作 者 可 能 还 因 与 安全 团队 的 一 些 争论 而 感到 伤心 ， 但 是 那 名 CISO 在 故事 情节 中 的 演变 是 一 份 好 的 路 线 图 : 网 
络 安全 团队 ， 尤 其 是 CISO， 应 广泛 地 与 IT 管理 团队 同事 协作 。 本 章 所 述 的 改进 方法 中 ， 没 有 一 个 是 只 赁 CISO 发 起 和 安排 就 可 完 
成 的 ， 负 责 应 用 托管 、 应 用 开发 、 企 业 网 络 、 终 端 用 户 服务 等 的 高 管 都 必须 一 起 推动 变革 。 安 全 团队 有 权利 和 责任 发 起 关于 IT 的 
结构 性 问题 会 引入 安全 隐患 的 讨论 、 参 与 重要 举措 的 商业 论证 的 判断 、 从 一 开始 就 塑造 新 构架 以 确保 这 些 架 构 可 受到 保护 、 在 发 
掘 让 IT 更 快 更 有 效 的 新 方法 中 成 为 其 他 高 管 的 思想 伙伴 。C1SO 还 需要 通过 支持 对 IT 人 员 进 行 技术 安全 培训 、 让 安全 管理 者 共同 
参与 应 用 与 基础 设施 决策 、 跟 踩 解决 技术 漏洞 的 进展 报告 ， 来 鼓励 在 企业 中 实现 更 有 适应 力 的 文化 。 


不 安全 的 应 用 程序 代码 、 没 有 打 补 丁 修复 的 操作 系统 服务 器 、 扁 平 网 络 构架 一 一 典型 的 企业 技术 环境 充斥 着 安全 隐患 。 然 
而 ， 已 经 出 现 新 兴 的 技术 模型 ， 特 征 是 更 高 效 的 精益 应 用 程序 开发 过 程 、 云 托管 模型 、 虚 拟 化 客户 端 、 软 件 定义 网 络 。 相 比如 今 
大 多 数 公司 的 现状 ， 这 些 模型 有 潜力 改进 效率 、 灵 活性 及 安全 性 。 


除了 风险 管理 及 交付 成 品 ， 网 络 安全 也 有 发 挥 影响 力 的 责任 。 一 家 企业 的 整体 技术 构架 会 深远 影响 在 继续 推动 技术 创新 的 同 
时 保护 自身 的 能 力 ， 这 样 ， 积 极 且 有 目的 的 将 这 些 责任 指定 到 IT 组 织 其 余人 员 ， 将 对 实现 数字 化 适应 力 是 一 个 重要 因素 。 这 自然 
需要 CISO 及 网 络 安全 团队 与 IT 团队 其 他 人 员 紧 密 而 有 效 地 合作 ， 也 需要 CIO、CTO 及 其 他 资深 技术 高 管 优先 考虑 投资 于 更 强健 
的 构架 ， 这 有 时 会 以 牺牲 战术 性 业务 发 展 要 求 为 代价 ， 另 外 高 管 们 还 要 在 整个 IT 环 境 中 努力 创建 风险 管理 与 适应 力 文化 。 
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第 6 草 ”采取 主动 防御 措施 对 抗 攻击 者 


企业 可 以 保护 自己 的 重要 资产 ， 并 在 整个 企业 范围 内 实施 安全 策略 与 安全 构架 ， 以 使 风险 最 小 化 ， 但 即使 如 此 ， 攻 击 者 也 依 
然 存 在 。 攻 击 者 的 资金 日 益 充 足 、 技 术 越 来 越 先 进 ， 并 受到 旺盛 的 市 场 需求 的 支撑 : 恶意 软件 及 渗透 攻击 工具 很 有 市 场 ， 攻 击 者 
可 利用 一 切 旨 在 摧毁 企业 防御 的 新 手段 ， 例 如 复合 攻击 (multistep attack) 、 错 误 引 导 及 更 隐蔽 的 恶意 软件 等 '。 如 此 一 来 ， 
企业 的 网 络 安全 措施 必须 从 被 动 转 为 主动 防御 。 


被 动 防御 的 意思 是 ,采取 防护 措施 让 攻击 者 远离 敏感 信息 资产 。 在 被 动 防御 模型 中 ， 企 业 利用 安全 操作 中 心 (SOC) 来 监 
控 和 管理 防御 措施 。 军 事 上 的 马 其 诺 防线 ， 第 二 次 世界 大 战 中 位 于 法 国 与 德国 边境 的 防御 工事 ， 即 属于 被 动 防御 策略 。 


主动 防御 的 意思 是 说 ， 在 攻击 者 造成 破坏 之 前 就 开始 采取 措施 对 抗 攻击 者 。 英 国 皇 家 空军 就 曾 采 取 过 主动 防御 措施 ， 他 们 利 
用 新 的 雷达 技术 来 识别 当时 还 在 英吉 利 海峡 上 空 的 纳粹 德国 空军 ， 发 布 预警 以 防范 袭击 ， 预 警 让 皇家 空军 可 以 在 敌 军 来 到 英国 之 


前 就 派 遗 作战 飞机 破坏 潜在 的 空袭 行动 。 


传统 的 SOC 提 供 的 基础 被 动 防御 能 力 是 非常 有 必要 的 ， 但 企业 也 需要 打开 自己 的 先进 雷达 ， 创 建 积极 的 防御 工事 来 对 抗 攻 
击 者 ， 收 集 情报 、 转 移 攻 击 者 对 有 价值 资产 的 视线 、 实 时 调整 防御 措施 。 攻 击 者 自然 不 会 等 待 企业 准备 完毕 再 发 动 攻击 ， 因 此 企 
业 需 要 在 设立 基础 SOC 防 御 能 力 的 同时 ， 找 到 对 抗 攻击 者 的 主动 防御 措施 。 


馈 动 防御 措施 的 局 限 性 


企业 开始 创建 SOC 时 ， 需 要 处 理 如 洪水 般 涌 来 的 安全 数据 ， 这 些 数据 由 完全 不 同 的 系统 、 平 台 及 各 种 应 用 程序 生成 ， 包 括 
业务 应 用 、I&AM 平 台 到 防 病毒 工具 、1DS 设 备 及 防火 墙 的 数据 *。 在 某 种 程度 上 讲 ， 企 业 是 把 所 有 信息 整合 至 安全 事故 及 事件 管 
理 (SIEM) 工具 中 ， 这 些 工具 可 提供 聚合 、 关 联 、 报 警 及 报告 功能 3。 


当 感 应 器 检测 到 某 个 已 知 有 害 的 操作 签名 时 ， 会 触发 SOC。 这 个 有 害 的 操作 可 能 是 访问 请 求 ， 该 请 求 可 能 来 自 网 络 犯 罪 有 
关联 的 因特网 协议 地 址 ,或 与 嵌入 了 已 知 恶 意 软件 签名 的 代码 有 关联 。 当 警报 响起 时 ， 分 析 师 会 对 其 做 出 判断 : 警报 意味 着 出 现 
了 合理 威胁 还 是 假 警 报 。 这 种 鉴别 分 类 工作 ， 占 据 分 析 师 高 达 七 成 的 时 间 。 如 果 他 们 认为 存在 真正 的 风险 ， 那 么 风险 会 被 上 报 ， 
由 具备 适当 级 别 专业 知识 的 SOC 分 析 师 来 解决 。 


简 而 言 之 ，SOC 分 析 师 对 警报 进行 评估 、 过 滤 掉 误 报 情况 、 判 定 严重 程度 并 请 求 针对 该 问题 采取 修复 行动 ， 比 如 对 受到 恶 
意 软件 感染 的 服务 器 进行 重 镜像 。 有 时 ，SOC 团 队 可 能 会 建议 企业 发 起 应 急 响应 程序 ， 以 应 对 损害 敏感 数据 的 严重 攻击 4。 


实施 了 SOC 的 企业 ， 因 SOC 而 收获 了 巨大 的 价值 。 往 往 恰 是 在 建立 SOC 的 过 程 中 暴露 出 企业 边界 防御 中 的 空白 ， 需 要 加 强 
防 病毒 能 力 、 网 络 过 滤 、 入 侵 检测 及 防火 墙 基础 设施 >。SOC 一 旦 启动 并 运行 起 来 ， 它 就 集合 起 安全 数据 和 专业 技术 ， 这 意味 着 
企业 将 遗漏 掉 较 少 的 安全 事件 并 能 及 早 捕捉 到 它们 。 如 今 ，SOC 管 理 服务 已 出 现 强劲 的 市 场 ， 很 多 企业 选择 外 包 而 非 自己 创建 
SOC, 


虽然 ，SOC 有 助 于 降低 风险 ,但 是 ， 它 也 有 很 大 的 局 限 ， 尤 其 是 面 对 目 的 明确 、 经 验 丰 富 的 攻击 者 时 。 只 有 当 网 络 感应 器 
检测 到 并 发 布 警 报 后 ， 分 析 师 才 会 介入 ， 接 着 ， 他 们 要 对 每 个 警报 付出 同等 的 精力 来 做 出 响应 ， 这 就 意味 着 ， 他 们 浪费 了 大 量 时 
间 用 于 过 滤 掉 假 警 报 ， 而 这 些 时 间 本 可 用 于 解决 真正 的 问题 。 很 多 机 构 没有 足够 的 人 手 解决 问题 ， 甚 至 大 部 分 机 构 没有 足够 的 分 
析 师 来 检查 发 生 的 所 有 报警 ， 这 就 是 说 ， 最 终 网 络 感应 器 会 被 调整 到 只 生成 分 析 师 所 能 够 忙 得 过 来 的 警报 数量 ， 这 样 有 很 多 潜在 
的 事故 根本 没有 得 到 详细 检查 。 即 便 是 如 今 先 进 的 分 析 方 法 ， 也 不 可 能 实时 阻挡 检测 到 所 有 潜在 的 严重 威胁 。 


SOC 操 作 依赖 于 工具 ， 但 如 果 工 具 配置 很 低 ， 就 不 会 检测 到 应 发 现 的 所 有 问题 。 并 且 ， 实 际 上 ， 技 术 最 为 先进 的 攻击 者 已 
经 知道 如 何 规避 最 为 常见 的 安全 应 用 程序 了 。 很 明显 ， 企 业 的 安全 网 出 现 了 较 大 漏洞 。 


不 过 ,或 许 SOC 最 重要 的 局 限 性 在 于 ，SOC 的 工作 原理 是 查看 已 知 恶 意 软件 的 特征 标记 。 这 一 基于 签名 的 方法 不 会 防范 零 
日 漏洞 ， 因 为 该 漏洞 根本 没有 已 知 签名 。 即 便 企业 坚持 不 懈 地 更 新 病毒 定义 、 保 持 整 个 网 络 的 良好 卫生 习惯 ,攻击 者 仍 可 利用 新 
的 零 日 漏洞 及 钓鱼 式 攻 击 等 新 技术 来 攻陷 或 回避 基于 签名 的 防御 措施 。 一 些 黑客 已 经 掌握 了 先进 的 谍报 技术 ， 而 且 黑 市 上 充斥 着 
先进 的 工具 ， 这 就 要 求 企业 必须 防范 更 广 的 敌人 。 举 例 来 说 ， 在 2013 年 ， 安 全 公司 Secunia 报 告 称 ，25 种 最 为 常见 的 软件 程序 
中 带 有 9 个 零 日 漏洞 5。 假 设 供应 商 每 月 发 布 一 次 补丁 ， 依 赖 于 基于 签名 的 方法 的 企业 一 年 中 会 有 270 天 暴露 于 此 前 未 知 的 威胁 之 
下 。 


最 后 ， 基 于 签名 的 方法 还 有 一 个 局 限 : 无 法 解决 日 益 增 多 的 内 部 人 士 威胁 。 内 部 威胁 包括 操作 员 错 误 (比如 未 能 更 新 病毒 定 


义 、 维 护 防 火 墙 ) 、 用 户 错误 (比如 点 击 了 邮件 中 错误 的 链接 而 遭受 鱼 叉 式 网 络 攻击 ) 、 由 一 系列 动机 激发 的 恶意 行为 等 。 如 同 
应 对 很 多 外 部 威胁 一 样 ， 要 缓解 这 些 内 部 人 士 威胁 ， 企 业 ClSO 们 必须 采取 主动 防御 措施 。 简 而 言 之 ， 要 应 付 当今 的 诸多 网 络 安 
全 威胁 ，SOC 是 严重 不 足 的， 企业 需要 部 署 主动 防御 措施 来 对 抗 攻击 者 。 


了 解 敌 人 ， 采 取 相 应 的 措施 


主动 防御 措施 采用 人 工 和 自动 化 相 结合 的 方式 ， 不 仪 要 检测 攻击 ， 还 要 能 蒙蔽 、 阻 止 和 控制 攻击 者 。 这 意味 着 有 些 时 候 ， 如 
发 现 攻 击 者 出 现在 网 络 中 时 ， 阻 止 并 驱逐 他 们 ， 而 另 一 些 时 候 ， 这 意味 着 在 网 络 中 主动 与 攻击 者 交锋 ， 以 监视 攻击 者 的 行为 ， 获 
取 更 多 天 于 他 们 的 操作 方法 的 情报 ， 让 攻击 者 保持 忙碌 状态 以 便 不 会 造成 伤害 。 这 也 意味 着 ， 企 业 将 有 能 力 实时 调整 防御 措施 来 
阻止 即将 到 来 的 攻击 。 


尽管 如 此 ， 主 动 防御 应 不 包括 发 起 针对 敌人 的 黑客 行为 。 似 乎 网 络 义 警 行为 是 个 有 吸引 力 的 报复 方法 ， 但 是 ， 在 大 多 司法 管 
辖 地 这 是 非法 的 。 另 外 ， 鉴 于 存在 攻击 归 因 的 挑战 (部 分 原因 是 攻击 者 使 用 的 是 其 他 人 的 基础 设施 ) ， 反 向 黑客 很 容易 攻击 根本 
不 知情 的 第 三 方 ， 这 会 给 企业 带 来 法 律 后 果 和 和 名誉 损伤 。 


采取 主动 防御 措施 有 三 个 明显 的 好 处 : @@ 可 以 充分 利用 现 有 人 手 ; @ 企 业 可 以 着 重 对 付 威胁 最 大 的 特定 黑客 ; @@ 可 以 利用 基 
于 假设 的 方法 ， 比 起 基于 签名 的 方法 ， 这 种 方法 可 让 安全 团队 制定 出 更 好 解决 方案 。 拥 有 有 价值 数据 、 会 计 或 财务 系统 的 任何 一 
家 公司 ， 只 要 连接 全 网 络 ， 都 会 假设 自己 会 成 为 攻击 目标 ， 很 多 时 候 ， 它 们 会 被 渗透 ， 在 这 样 的 时 候 ， 主 动 防御 措施 是 更 为 先进 
的 防御 策略 。 


采取 主动 防御 策略 意味 着 采取 以 下 措施 : 

(1) 拥有 最 新 情报 。 

(2) 缓解 内 部 威胁 。 

(3) 在 企业 内 部 网 络 中 与 敌人 交锋 。 

(4) 与 他 人 联手 缓解 外 部 威胁 。 

每 个 因素 都 需要 企业 在 技术 与 能 力 上 进行 投资 ， 正 如 企业 要 努力 提升 基本 网 络 安 全 及 应 急 响应 能 力 一 样 ， 企 业 要 积极 实施 以 
上 四 点 ， 并 将 它们 整合 进 全 面 的 主动 防御 项 目 中 去 。 
拥有 最 新 情报 


在 数量 上 唯一 比 网 络 安全 威胁 增长 速度 要 快 的 是 可 提供 有 关 威 胁 信息 的 企业 数量 。 有 这 样 一 种 趋势 ， 企 业 开 始 求 助 于 国家 机 
关 及 商业 运营 商 等 第 三 方 ， 以 获取 更 多 关于 网 络 安全 威胁 的 信息 。 然 而 ， 大 多 公司 缺乏 内 部 资源 来 分 析 信 息 的 良 其 ， 或 者 更 为 重 
要 的 是 ， 没 有 能 力 利用 这 些 数 据 来 制定 有 效 的 运营 决策 。 


拥有 强大 主动 防御 项 目的 企业 ， 需 要 发 展 内 部 情报 职能 部 门 ， 并 与 网 络 安全 运营 团队 相 结 合 ( 见 图 6-1) 。 情 报 部 门 具备 5 
个 因素 (一 般 被 称 为 情报 周期 ) 。 


情报 运营 


将 知识 及 建议 

监控 网 络 ”融合 到 商业 决策 中 
并 按 需 调 整 
感应 器 


确定 需求 : 了 解 知识 缺口 及 如 何 填补 


传播 相关 情报 周期 
和 可 操作 收集 数据 
的 信息 以 识别 洪 
利用 高 级 能 力 SR 
分 析 数 据 并 解释 企 
业 将 如 何 受 到 影响 


衡量 质量 及 对 信息 的 利用 并 更 新 功能 


图 6-1 将 前 脆性 的 网 络 情报 职能 与 网 络 安全 运营 团队 结合 


| 


情报 周期 中 的 第 一 步 是 确定 需求 。 在 网 络 安全 世界 里 ， 需 设 定 一 些 基 于 知识 和 经 验 的 假设 : 就 你 所 在 企业 最 有 可 能 面临 的 威 
胁 、 哪 些 攻击 者 有 能 力 和 意向 对 你 们 进行 攻击 、 攻 击 者 一 般 会 采用 什么 样 的 技术 。 上 面 的 这 些 问 题 有 助 于 情报 部 门 识 别 出 其 情报 
缺口 ， 即 为 了 有 效 识 别 并 对 抗 政 人 而 所 需 的 特定 信息 ， 而 该 部 门 尚 未 掌握 。 


一 旦 知晓 需要 什么 样 的 信息 ， 威 胁 情报 团队 需要 找到 正确 的 内 部 和 外 部 来 源 ， 以 获取 这 些 信 息 。 在 企业 内 部 ， 需 要 安装 网 络 
感应 器 来 检测 可 疑 活动 的 特定 标记 。 要 达到 这 点 所 需 措施 或 包括 设置 IDS， 寻 找 已 知 攻击 者 的 典型 战术 、 技 术 和 攻击 过 程 (这 三 
者 英文 首 字母 缩写 为 TTP， 网 络 安全 术语 ， 相 当 于 其 他 形式 罪犯 的 作案 手法 “MO”) 的 特定 标记 、 监 控 内 部 用 户 行为 以 识别 潜 
在 的 网 络 破坏 形式 。 其中， 应 优先 考虑 的 是 ， 利 用 大 量 的 网 络 感应 器 ， 对 与 企业 最 担心 对 象 的 最 为 相似 的 TTP 做 出 预警 ， 来 注重 
保护 最 有 价值 的 信息 。 为 识别 攻击 者 ， 诱 惑 他 们 使 用 额外 的 工具 ， 先 进 的 企业 还 会 雇用 “狩猎 ”团队 、 创 建 内 部 迷惑 性 沙 箱 (对 
此 本 书后 面 内 容 还 会 涉及 ) ， 以 此 来 获取 更 多 攻击 者 的 TTP。 


随 着 第 三 方 供应 商 、 政 府 机 构 、 行 业 协 会 (如 金融 服务 领域 的 金融 服务 信息 共享 和 分 析 中 心 FS-ISAC) 越发 成 熟 ， 这 些 开 始 
成 为 威胁 信息 的 集中 存储 库 和 交换 中 心 ， 外 部 网 络 安全 情报 的 数量 在 快速 增加 。 上 述 团体 所 能 提供 的 信息 可 能 包括 特定 的 威胁 概 
要 、 攻 击 “ 路 线 ” (黑客 进入 企业 网 络 的 特定 路 线 ) 或 有 关 威 胁 的 情境 信息 。 现 实 世界 里 广泛 的 信息 能 帮助 企业 机 构 了 解 威胁 、 
攻击 者 及 其 动机 、 攻 击 者 所 在 的 政治 和 法 律 环境 ， 情 报 团 队 要 确保 既 能 够 收集 到 技术 方面 信息 ， 又 能 收集 到 这 些 情境 信息 。 有 前 
瞻 性 的 企业 甚至 还 直接 从 黑客 的 “ 暗 网 ” (黑客 售卖 攻击 工具 、 分 享 漏洞 信息 、 攻 击 者 工具 包 及 用 盗 来 的 信息 获 利 的 地 下 网 络 ) 
中 收集 威胁 信息 。 进 入 这 些 黑客 论坛 后 ， 技 术 先进 的 企业 可 直接 从 敌人 处 收集 威胁 情报 。 


获取 信息 只 是 情报 的 一 部 分 ， 分 析 信 息 是 关键 步骤 。 为 了 从 信息 中 获得 见解 、 情 境 及 行动 ， 敬 业 的 分 析 师 必须 仔细 研究 数 
据 。 这 种 类 型 的 分 析 活 动 的 目的 是 让 各 种 行为 相互 关联 ， 形 成 当前 威胁 和 预期 威胁 的 观点 。 在 面临 风险 的 企业 里 ， 它 能 为 内 部 决 
策 者 提供 有 关 风 险 的 认 知 ， 能 为 防御 者 提供 一 系列 信息 ， 让 他 们 实时 地 解决 风险 ， 还 能 让 企业 确定 行动 优先 级 以 便 有 效 地 部 署 防 
御 措施 、 对 情况 充分 了 解 的 基础 上 做 出 决策 。 简 而 言 之 ， 情 报 推动 下 一 步行 动 。 


情报 周期 中 的 最 后 一 段 圆 弧 是 传播 情报 。 传 播 方式 可 能 包括 战略 威胁 公告 ， 帮 助 企业 领导 做 出 有 效 的 业务 或 投资 决策 。 传 播 


方式 还 有 警报 ， 帮 助 网 络 安全 团队 调整 决策 或 至 天 重要 的 战术 通知 ， 促 成 在 网 络 上 的 直接 行动 〈 比 如 关闭 一 个 端口 、 阻 止 一 个 IP 
地 址 或 针对 网 络 上 的 实体 采取 直接 措施 ) 。 


网 络 情报 部 门 的 职能 不 仅 是 收集 威胁 信息 、 开 展 战略 威胁 评估 ， 还 应 能 猜测 最 有 可 能 使 用 的 入 侵 工具 和 最 有 可 能 的 目标 对 
象 。 这 些 猜 测 不 断 更 新 ， 指 导 网 络 安全 专家 去 天 注 他 们 需要 关注 的 点 。 随 着 网 络 情报 部 门 的 发 展 日 益 成 熟 ， 企 业 机 构 可 以 将 这 些 
青 测 逐 步 细 化 到 那些 攻击 自身 网 络 的 威胁 信息 上 。 所 收集 的 情报 可 能 不 足以 把 恶意 行为 归于 某 一 特定 的 角色 ， 但 是 不 同 对 手 的 
TTP 能 够 明显 区 分 他 们 ， 使 网 络 安 全 人 员 能 够 对 每 个 已 识别 出 的 攻击 者 采取 定制 的 防御 措施 。 


技术 最 为 先进 的 企业 机 构 能 收集 足够 的 信息 ， 来 针对 每 个 政 人 设计 出 行动 方案 ， 整 合 起 来 就 形成 企业 整体 防御 活动 。 要 想 持 
续 成 功 防御 ， 有 赖 于 持续 更 新 情报 并 相应 地 调整 行动 方案 。 为 进一步 改进 防御 活动 ， 安 全 分 析 师 要 审查 每 个 行动 方案 执行 结果 ， 
将 新 的 观点 加 入 有 效 对 抗 每 个 政 人 的 行动 方案 中 。 


通过 这 种 方式 让 威胁 情报 发 挥 作用 ， 需 要 业务 运行 方式 也 有 所 变化 。 传 统 上 是 把 情报 填 入 SOC 平 台中 ， 但 这 是 无 法 完成 工 
作 的 ， 原 因 在 于 不 管 每 条 情报 对 企业 的 适用 性 如 何 ， 传 统 方法 都 会 基于 每 条 情报 来 触发 警报 ， 让 企业 不 知 所 措 。 更 为 重要 的 是 ， 
传统 方法 不 能 把 重点 放 在 网 络 安全 运 维 人 员 的 行动 上 ， 没 有 评判 情报 质量 以 及 额外 发 现 信息 补充 情报 内 容 的 反馈 机 制 。 企 业 需 要 
把 情报 分 析 人 员 融 合 进 网 络 安全 团队 ， 以 促进 相互 了 解 ， 帮 企业 更 快 地 做 出 决策 。 


随 着 内 部 传感器 和 外 部 威胁 情报 源 逐 渐 增 多 ， 企 业 需 尽快 采用 高 级 自动 化 分 析 方 法 ， 以 免 淹没 海量 信息 中 。 鉴 于 人 类 还 不 能 
从 噪声 中 分 离 信号 ， 很 多 机 构 为 友 现 异常 现象 ， 采 用 将 已 知事 件 与 未 知事 件 相 关联 的 复杂 算法 。 例 如 ， 在 塔 吉 特 遭 袭 击 事件 后 ， 
媒体 大 量 报道 最 初 识别 到 一 些 遭 袭击 的 迹象 ， 但 是 安全 运营 团队 忽视 了 这 些 信息 ， 就 是 因为 这 些 信 息 淹没 在 大 量 没有 实质 威胁 的 


警报 之 中 了 /。 


缓解 内 部 威胁 


很 多 公司 都 关注 外 部 威胁 ， 大 部 分 防御 措施 都 是 针对 外 部 人 员 的 。 默 认 的 是 ， 外 部 人 员 不 被 信任 ， 而 内 部 人 员 是 可 信 的 ， 而 
且 必 须要 信任 。 从 可 以 接触 原始 数据 库 的 系统 管理 员 ， 到 可 访问 使 用 记录 和 凭证 的 网 络 安全 人 员 ， 再 到 可 访问 客户 数据 的 客户 服 
务 人 员 ， 内 部 人 员 需 要 访问 敏感 信息 才能 完成 本 职工 作 。 内 部 人 员 不 仅 能 访问 敏感 及 有 价值 的 信息 ， 而 且 掌握 了 内 部 其 他 相关 资 
料 来 定位 和 利用 这 些 信息 。 如 前 所 述 ， 获 取 有 价值 资产 的 最 简单 方法 就 是 早晨 佩戴 标识 的 雇员 走 进 公司 大 楼 、 利 用 有 效 的 身份 证 
件 登录 安全 系统 。 


人 


很 多 公司 开始 意识 到 ， 出 于 多 种 原因 他 们 对 缓解 内 部 人 员 威 胁 的 投资 是 不 足 的 。 媒 体 往往 会 天 注 外 部 、 海 外 的 攻击 者 ， 而 解 
决 内 部 人 员 带 来 的 威胁 要 更 难 ， 需 要 更 加 深入 了 解 业务 流程 并 与 业务 伙伴 合作 。 此 外 解决 内 部 人 员 威胁 时 会 引起 人 力 资源 
(HR) 部 门 不 高 兴 ， 尤 其 是 在 强调 信任 文化 的 企业 里 。 


在 可 访问 关键 数据 系统 的 内 部 人 员 中 ， 企 业 需 要 提防 以 下 三 类 人 员 : @@ 行 为 不 当 的 内 部 人 员 。 他 们 不 了 解 安 全 协议 ， 忽 略 网 
络 安 全 策略 ， 出 现 操作 错误 导致 敏感 数据 被 破坏 或 网 络 变 脆 弱 ; @ 被 劫持 的 内 部 人 员 。 他 们 的 身份 凭证 受到 外 部 人 员 的 攻击 ， 作 
为 内 部 人 员 他 们 能 给 外 部 人 员 同 等 的 访问 级 别 ;@ 心 怀 恶 意 的 内 部 人 员 。 为 了 谋取 私利 ， 这 类 人 员 会 偷盗 或 破坏 数据 。 企 业 必 须 
采取 主动 防御 措施 处 理 好 三 类 内 部 人 员 。 


行为 不 当 的 内 部 人 员 


内 部 人 员 可 能 很 轻易 地 (这 种 轻易 令 人 感到 吃惊 ) 把 带 有 秘密 信息 的 文件 一 不 小 心 发 送 给 客户 、 供 应 商 或 其 他 第 三 方 ， 接 着 
敏感 邮件 被 再 次 转发 给 几 十 个 、 几 百 个 人 ， 而 后 者 根本 不 需要 阅读 这 些 信息 。 内 部 人 员 会 用 USB 下 载 文件 ， 上 传 到 消费 级 别 网 络 
服务 上 ， 而 这 些 网 络 最 多 也 只 有 模糊 的 安全 策略 。 


本 书 第 4 章 所 阐述 的 改变 思维 模式 及 行为 的 所 有 机 制 自然 非常 重要 ， 但 是 这 些 机 制 必须 要 有 操作 模型 的 支持 ， 来 识别 错误 的 
行为 和 举措 。 


数据 泄露 保护 (DLP) 工具 可 阻止 敏感 数据 通过 邮件 被 发 送 到 外 部 、 上 传 到 网 络 、 下 载 到 外 部 U 盘 等 设备 ， 甚 至 是 被 打印 出 
来 ， 这 些 都 有 助 于 防止 不 谨慎 的 员工 不 当地 分 享 信息 。 对 于 高 度 结构 化 的 信息 ， 比 较 容易 实现 ， 例 如 ， 通 过 设置 规则 策略 告诉 
DLP 工 具 寻 找 客 户 账户 数据 。 


防止 非 结构 化 数据 丢失 则 更 为 复杂 ， 需 要 高 级 的 网 络 安全 分 析 法 。 商 业 计 划 、 定 价 策略 及 多 种 知识 产权 不 能 像 社 会 保险 号 码 
那样 通过 结构 来 识别 。 例 如 ， 当 一 位 开发 人 员 将 Java 代 码 上 传 到 网 络 ， 那 么 一 个 工具 如 何 辨别 开发 人 员 是 在 为 重要 的 开源 项 目 做 
贡献 ， 还 是 将 高 度 私 有 的 算法 传 到 不 安全 的 站 点 以 便 在 家 工作 ? 


基于 以 上 原因 ， 新 安装 的 DLP 工具 发 出 的 九 成 警报 可 能 都 是 错误 判断 。 很 明显 ， 这 是 不 可 行 的 。 网 络 安全 分 析 专 家 需要 持续 
参与 这 些 过 程 : 业务 流程 、 分 析 和 警报、 调整 业务 规则 ， 这 样 ， 他 们 才能 辨别 真正 的 不 当 行 为 ， 支 持 管理 团队 。 应 制定 措施 ， 处 理 
那些 不 能 妥善 保护 企业 信息 的 员工 来 处 理 经 常 选 择 忽视 保护 企业 信息 责任 的 员工 。 


被 劫持 的 内 部 人 员 


外 部 攻击 者 经 常 利用 内 部 员工 的 身份 赁 证， 而 内 部 员工 往往 对 此 毫 不 知情 。 事 实 上 ， 约 有 八成 的 网 络 攻击 都 会 在 攻击 的 某 一 
时 刻 盗 用 身份 赁 证。 如 第 4 章 中 提 及 的 数据 库 管 理 员 所 发 现 的 ， 点 击 错误 的 链接 会 让 电脑 上 被 安装 键盘 记录 器 ， 它 可 以 捕捉 到 登 
录 任 何 重 要 系统 的 账户 信息 及 密码 。 


要 降低 身份 凭证 被 动 持 风险 ， 改 变 员 工 思 维 方 式 及 行为 非常 关键 ,但 这 还 不 足够 。 通 常 ， 会 有 超过 三 成 的 员工 不 能 通过 钓鱼 
式 攻击 测试 ， 因 此 企业 必须 接受 一 个 事实 ， 即 恶意 软件 会 偷偷 溜 进 员 工 的 设备 里 。 企 业 也 不 能 完全 指望 防 病毒 工具 来 防御 那些 有 
创造 力 和 创新 性 的 攻击 者 ， 哪 怕 它 是 最 新 的 工具 。 企 业 必 须 利用 主动 防御 技术 来 识别 员工 身份 信息 已 被 动 持 的 异常 现象 ， 并 能 进 
一 步调 查 和 响应 。 


这 时 ， 仔 细 分 析 身 份 及 访问 管理 (1&AM) 数据 会 特别 起 作用 。 举 例 来 说 ， 一 位 重要 员工 的 账户 可 能 从 一 个 新 的 IP 地 址 访问 
敏感 信息 ， 暗 示 着 他 的 身份 例证 有 可 能 被 动 持 了 。 然 而 ， 这 也 可 能 意味 着 她 在 出 差 或 正在 度假 。 如 果 员 工 的 凭证 被 使 用 的 地 点 间 
相距 几 百 英里 ,或 者 ， 在 HR 系统 显示 他 在 休假 时 ， 他 的 账户 还 一 天 10 个 小 时 活跃 ， 几 乎 可 以 确定 攻击 者 动 持 了 他 的 身份 凭证 。 


心怀 恶意 的 内 部 人 员 


一 位 员工 可 能 会 受到 外 部 攻击 者 的 影响 ， 攻 击 者 可 能 使 用 贿赂 或 强制 的 手段 ; 员工 可 能 觉得 雇主 的 商业 行为 令 人 厌恶 而 认为 
应 该 披露 出 来 ; 不 过 ， 最 为 常见 的 是 ， 他 可 能 在 考虑 来 自 竞 争 对 手 的 招聘 ， 想 要 把 客户 列表 或 定价 信息 带 走 ， 以 便 快 速 上 手 新 工 
作 。 


面 对 心 怀 恶 意 的 内 部 人 员 ， 影 响 员 工 思维 方式 及 行为 的 传统 机 制 会 失效 ， 采 取 主 动 防御 措施 变 得 尤为 重要 。 企 业 需 要 开发 一 
套 能 够 识别 当前 甚至 未 来 的 恶意 内 部 人 员 行 为 的 方法 。 例 如 ， 如 果 员 工 访问 了 对 他 来 说 “范围 外 ” (out of profile) 的 文件 ， 
并 且 在 DLP 工 具 前 几 个 月 的 记录 中 有 两 个 记录 ， 这 可 能 是 网 络 安 全 风险 标志 。 依 赖 于 精确 的 分 析 ， 网 络 安全 团队 可 建议 进一步 对 
该 员工 进行 监控 ， 他 的 经 理 约 谈 他 并 强调 保护 敏感 信息 的 重要 性 ， 减 少 他 的 访问 权限 ， 在 极端 情况 下 ， 可 撤销 他 的 所 有 特权 并 考 
虑 其 职位 问题 。 


在 这 里 ， 对 员工 的 深入 了 解 非常 重要 。 如 果 网 络 安全 分 析 师 能 识别 访问 敏感 信息 的 部 分 员工 〈 比 如 致力 于 关键 R&D 项 目的 
研究 人 员 ) ， 并 能 把 分 析 重 点 放 在 这 一 组 人 身上 的 话 ， 分 析 师 任务 将 更 易于 管理 。 同 样 ， 如 果 网 络 安全 分 析 师 能 与 HR 合作 识别 
哪些 访问 敏感 数据 的 员工 最 有 可 能 离职 ， 他 们 就 可 进一步 着 重 对 这 些 人 进行 监控 ， 以 降低 有 价值 的 知识 产权 随员 工 离职 落 入 竞争 
对 手 的 风险 。 


在 企业 内 部 网 络 中 与 政 人 交锋 


网 络 攻击 者 可 以 采用 很 多 工具 和 技术 隐藏 他 们 的 登录 和 网 络 行为 ， 这 具有 先行 优势 。 但 给 我 们 在 网 络 内 部 识别 恶意 操作 带 来 
极 大 挑战 。 为 迎接 这 一 挑战 ， 企 业 要 采取 两 个 并 行 方法 : @ 发 展 “ 狩 猎 ” 团 队 来 识别 攻击 者 的 行为 ， 不 管 它们 会 在 网 络 的 何 处 发 
生 ; @ 主 动 的 管理 攻击 者 而 非 简单 地 把 他 们 踢 出 去 。 


在 网 络 上 捕捉 敌人 


内 部 “狸猫 ”团队 的 概念 正 作 为 最 佳 实践 而 涌现 ， 并 向 中 小 型 企业 蔓延 ， 后 者 也 开始 认可 采取 更 为 主动 的 网 络 安全 措施 带 来 
的 好 处 。 


经 验 丰 富 、 冤 业 的 网 络 安全 运营 者 经 常 清理 网 络 ， 试 图 发 现 他 们 在 情报 收集 阶段 识别 的 攻击 者 。 运 营 者 需要 有 “寻找 和 追 
赶 ”的 思维 方式 ， 不 管 攻击 者 可 能 出 现在 网 络 的 哪个 地 方 ， 都 要 找 出 他 们 的 据点 。 


要 想 狩 猎 成 功 ， 运 营 者 必须 识别 和 分 析 内 部 使 用 模式 、 访 问 记 录 、 员 工行 为 及 可 疑 代码 。 和 其 他 同行 一 样 ， 网 络 安全 运营 者 
要 处 理 大 数据 ， 但 是 他 们 面 对 的 大 数据 世界 里 ， 每 个 网 络 访问 请 求 都 会 生成 一 个 数据 点 ， 每 次 用 户 击 键 都 记录 在 案 ， 每 个 系统 操 
作 都 在 日 志 中 记录 。 这 是 增强 型 的 大 数据 。 运 营 者 必须 找到 恰当 的 方法 来 了 解 每 天 发 生 在 网 络 上 的 成 百 上 干 万 的 数字 互动 的 意 
义 ， 发现 异常 活动 ，“ 狩 猫 ” 团 队 即 可 通过 这 些 异 常 活动 来 捕捉 攻击 者 。 


几乎 很 少 有 企业 经 常 仔细 检查 应 用 程序 是 否 存在 异常 活动 ， 例 如 恶意 代码 或 未 经 授权 的 访问 请 求 等 。 应 用 程序 开发 团队 可 能 
会 在 开发 阶段 仔细 检查 代码 一 一 不 过 ， 如 我 们 在 本 书 前 面 所 看 到 的 ， 连 这 也 远 非 普 遍 做 法 一 一 但 是 ， 对 在 线 系统 检查 很 少 能 定 
期 和 开展。 网络 安全 团队 也 应 实际 开展 脆弱 点 评估 (理想 情况 下 ， 还 有 渗透 测试 、 模 拟 外 部 威胁 和 内 部 威胁 ) 。 


要 避免 企业 疲 于 应 对 诸多 数据 并 做 出 有 效 决策 ，“ 狩 猎 ” 团 队 要 能 够 提供 所 有 数据 的 场景 ， 该 场景 主要 有 以 下 三 个 来 源 : 

(1) 将 威胁 情报 与 脆弱 点 分 析 相 结合 。 这 能 让 狩猎 团队 开发 出 最 危险 的 入 侵 战略 场景 。 这 些 战略 被 称 为 网 络 “ 杀 手链 ”， 
该 词 由 洛克 希 德 ' 马 丁 创造 8。 每 个 攻击 者 都 有 进入 网 络 的 典型 方法 ， 狩 猎 团 队 看 到 网 络 上 重复 出 现 TTP 便 可 识别 。 

(2) 了 解 异 常 活动 的 构成 。 企 业 通过 总 结 各 种 工作 岗位 的 员工 计算 机 的 行为 特点 ， 然 后 采用 机 器 学 习 手 段 针对 某 些 个 人 完 
善 其 计算 机 行为 特点 。 编 写 一 个 异常 行为 列表 ， 例 如 大 量 下 载 或 打印 敏感 信息 等 ， 这 是 一 个 持续 完善 的 过 程 。 

(3) 增强 型 SOC。 如 果 SOC 足 够 先进 ， 就 能 过 滤 掉 尽量 多 的 假 警 报 ， 那 么 “狩猎 ”团队 将 受益 匪 浅 ， 这 能 促进 该 团队 着 重 
关注 可 能 在 面 对 和 阻止 攻击 者 时 起 决定 作用 的 行动 。 

掌握 了 这 些 情况 后 ，“ 狩 猎 ” 团 队 可 快速 从 “寻找 ”进入 到 “追赶 ”模式 。 

在 网 络 上 管理 敌人 

“狩猎 ”团队 一 旦 在 网 络 上 识别 了 攻击 者 ， 他 们 就 要 做 出 决定 ， 是 驱逐 他 、 阻 止 他 的 访问 路 径 ， 还 是 主动 地 在 网 络 内 部 对 其 


进行 管理 。 发 现 攻击 者 时 人 们 不 由 自主 的 反应 就 是 尽快 地 驱逐 他 们 ， 然 而 ， 昌 然 这 可 能 是 令 人 满意 的 反应 ， 也 更 容易 向 管理 层 汇 
报 ， 但 却 并 非 最 明智 的 选择 。 


驱逐 攻击 者 会 有 两 个 结果 : 一 是 ， 他 们 会 知道 这 次 尝试 失败 了 ， 于 是 就 收 手 不 再 浪费 时 间 于 此 ; 二 是 ,攻击 者 知道 他 的 TTP 
没 起 作用 ， 进 而 作 调 整 并 会 再 次 尝试 攻击 。 然 而 ， 对 于 攻击 者 的 这 两 个 情况 ， 企 业 都 无 法 得 到 有 力 情报 。 此 外 ， 攻 击 者 可 能 这 次 
只 使 用 了 一 两 种 工具 来 进入 网 络 ， 保 留 了 更 为 有 效 的 工具 以 备 在 以 后 的 杀手 链 中 使 用 。 那 么 驱逐 攻击 者 的 做 法 就 意味 着 防御 者 无 
从 得 知 他 们 还 有 什么 工具 ， 也 就 无 法 防范 未 来 的 攻击 。 


因此 ， 采 取 了 正确 的 主动 防御 过 程 的 企业 应 避免 驱逐 攻击 者 的 冲动 。 与 人 们 直 党 相悖 的 是 ， 保 留 他 们 在 网 络 内 部 会 更 具 价 


值 。 最 基本 的 ,企业 可 部 署 “ 密 钠 ” (honeypot) 和 “焦油 坑 ” (tar pit) ， 以 期 让 敌人 忙碌 起 来 为 企业 争取 时 间 。 这 些 静态 
技术 日 益 流行 起 来 ， 至 少 在 敌人 意识 到 自己 被 抓 住 之 前 是 有 用 的 。 


密 饶 是 许多 配置 为 吸引 黑客 及 其 软件 (如 有 恶意 软件 ， 包 括 僵尸 网 络 ) 的 计算 机 ， 可 让 企业 了 解 攻 击 者 的 技术 ， 且 不 将 任何 关 
键 资 产 置 于 风险 中 。 设 计 精 良 的 蜜 钢 中 不 包括 任何 有 价值 资产 ， 而 是 看 上 去 有 二 了。 一旦 蜜 色 遭 感染 或 攻击 ， 蜜 铅 管 理 员 可 从 安 
全 的 控制 环境 里 记录 和 监控 黑客 的 行为 。 其 中 包括 ， 评 佑 攻击 者 扫 摘 搜 索 、 获 取 访问 权 、 保 持 访问 权 、 利 用 目标 的 方法 ， 最 重要 
的 是 ， 当 攻击 者 获取 了 想 要 的 信息 (或 者 说 他 们 认为 自己 获取 了 ) 后 ， 他 们 离开 机 器 和 网 络 时 如 何 掩盖 行踪 ， 这 可 用 于 开发 对 抗 
攻击 者 的 措施 ， 保 护 真 正 的 网 络 。 只 要 应 用 得 当 (比如 不 出 现 伪 造 或 操作 上 不 适用 ) ， 相 对 于 这 些 的 成 本 来 说 ， 密 缸 的 益处 可 是 
极 大 的 ?。 一 些 公司 走 得 远 些 ， 他 们 会 部 署 多 重 密 负 网络， 对 最 重要 资产 的 主动 威胁 进行 连续 不 断 的 监控 和 情报 收集 。 


焦油 坑 用 于 放 缓 网 络 扫描 搜索 或 已 知 恶意 角色 或 代码 。 焦 油 坑 是 网 络 服务 或 服务 器 的 集合 ， 这 些 服务 或 服务 器 旨 在 降低 或 拒 
绝 已 知 或 已 识别 出 的 恶意 网 络 通信 。 正 常 的 网 络 通信 会 有 较 小 的 预料 之 中 的 拖延 ， 但 是 焦油 坑 会 提高 这 种 拖延 ， 超 出 预期 的 阔 
值 ， 放 绥 通 信 以 分 析 、 威 慑 或 拒绝 。 焦 油 坑 的 方法 应 用 得 没有 那么 普遍 ， 这 需要 掌握 网 络 有 关 的 已 知 攻击 信息 ， 威 胁 情报 团队 要 
付出 很 多 。 


焦油 坑 是 对 抗 政 人 的 静态 方法 的 一 个 示例 ， 而 下 一 代 网 络 安全 防御 者 会 利用 迷惑 性 沙 箱 来 动态 地 对 抗 政 人 。 迷 惑 性 沙 箱 是 一 
个 并 行 的 网 络 环境 ， 它 在 攻击 者 看 来 就 与 企业 的 真正 网 络 并 无 二 致 ， 只 是 该 网 络 与 真正 网 络 完全 隔离 ， 里 面 也 没有 什么 有 价值 的 
资产 。 迷 惑 性 沙 箱 由 密 缸 概念 演化 而 来 ， 然 而 ， 密 缸 是 作为 被 动 措施 来 骗 攻击 者 对 虚假 目标 进行 攻击 ， 而 分 散 注意 力 的 诱惑 性 沙 
箱 旨 在 让 网 络 安全 团队 主动 对 抗 攻击 者 ， 既 让 攻击 者 忙碌 起 来 ， 又 获取 更 多 关于 攻击 者 的 情报 。 

运营 者 一 旦 在 实际 网 络 上 发 现 了 攻击 者 ， 运 营 者 就 会 把 他 引 到 沙 箱 里 ， 接 着 他 就 会 认为 自己 没有 被 发 现 而 自由 部 署 自己 的 工 


。 这 时 ， 恶 意 代 码 开始 “呼叫 本 部 ”给 予 指示 ， 确 认 与 先进 的 恶意 软件 相关 联 的 远程 服务 器 ， 此 时 ， 攻 击 者 仍 以 为 没有 被 发 
。 然 而 ， 实 际 上 ， 沙 箱 管 理 团队 正在 观察 他 在 使 用 的 工具 ， 并 完善 其 TTP 情 报 ， 提 升 未 来 防范 这 个 攻击 者 的 能 力 。 


\ 
1 


出 


采取 这 种 技术 的 一 家 企业 可 同时 管理 超过 30 个 针对 攻击 者 的 作战 任务 ， 让 每 个 黑客 都 认为 自己 没 被 发 现 并 偷 取 了 高 度 敏 感 
的 数据 。 事 实 上 ， 他 们 受到 持续 的 监控 ， 且 什么 也 没 偷 到 ， 拿 到 的 只 是 企业 植 入 的 无 用 数据 而 已 。 这 家 企业 曾 在 ?个 月 时 间 里 对 
一 名 黑客 进行 管理 ， 这 段 时 间 里 ， 黑 客 不 会 对 企业 有 任何 危害 。 这 期 间 ， 除 了 黑客 进入 网 络 的 方法 ， 企 业 还 识别 出 黑客 的 19 种 
工具 ， 现 在 企业 可 利用 这 些 信息 来 保护 真正 的 网 络 。 如 果 一 开始 发 现 这 名 黑客 的 时 候 ， 企 业 就 立刻 驱逐 他 ， 他 们 就 会 失去 这 些 优 
势 ， 这 是 重要 的 机 会 成 本 。 


与 他 人 联手 缓解 外 部 威胁 


虽然 ， 通 过 发 起 对 黑客 的 黑客 行为 以 示 报复 风险 很 高 ， 也 经 常 是 非法 的 ， 但 是 一 些 企业 会 通过 与 安全 机 构 、 执 法 机 关 及 民事 
法 庭 等 第 三 方 合作 来 提高 防御 能 力 。 


很 多 与 国家 重要 基础 设施 建设 (如 航空 航天 及 军工 企业 、 公 共事 业 、 研 发 机 构 ) 有 关联 的 私营 企业 正 努 力促 进 与 国家 安全 机 
构 的 联系 ， 这 些 机 构 或 能 够 采取 措施 对 付 政 人 。 例 如 ， 联 邦 政府 发 起 一 次 志愿 活动 ， 其 中 政府 会 提供 敏感 的 信息 ， 这 些 往 往 是 对 
美国 的 威胁 来 说 还 是 机 密 的 信息 。 

于 是 ， 就 会 有 国防 部 (DoD) 数据 驻 留 在 或 经 过 符合 条 件 的 企业 网 络 。 这 个 项 目 也 允许 这 些 企业 利用 DoD 边 界 防 御 系 统 的 
诸多 元 素 ， 包 括 机 密 的 威胁 签名 。 很 多 政府 部 门 及 机 构 曾经 或 正在 发 展 类 似 的 活动 来 分 享 威胁 情报 和 保护 系统 。 


其 他 大 型 公司 主动 与 国家 安全 机 构 合作 ， 不 仅仅 是 为 了 促进 信息 共享 ， 而 是 抵制 为 攻击 者 提供 安全 避风 港 ， 例 如 ， 许 多 大 型 
银行 有 专门 负责 与 国家 安全 机 构建 立 友 好 关系 的 员工 ， 以 期 银行 能 提供 给 政府 机 构 信 息 ， 让 后 者 实施 攻击 性 的 网 络 安 全 措施 ， 而 
这 些 措施 是 私营 部 门 组 织 机 构 无 法 使 用 的 。 


社交 网 络 Facebook 曾 与 当地 执法 机 构 合作 ， 摧 毁 了 名 为 Lecpetex 的 恶意 软件 分 销 组 织 。Facebook 识 别 出 盗 用 用 户 账 户 的 
恶意 软件 ， 该 公司 为 警方 提供 了 这 些 敌 人 的 具体 信息 ， 这 直接 导致 传播 恶意 软件 的 服务 器 被 的 毁 10.。 


其 他 一 些 机 构 利用 民事 诉讼 来 扩大 主动 网 络 安全 防御 措施 。 最 著名 的 例子 之 一 就 是 微软 公司 ，2012 年 该 公司 赢得 了 一 项 法 
庭 指令 ， 人 允许 该 公司 控制 一 个 出 售 盗版 的 Windows PC 的 网 络 域名 ， 而 这 些 PC 上 预先 安装 了 恶意 软件 Nitol， 这 一 恶意 软件 能 让 


攻击 者 远程 控制 系统 并 从 事 盗窃 、 欺 诈 等 恶意 活动 。 于 是 微软 公司 从 源头 便 压制 了 该 僵尸 网 络 的 活动 11。 


企业 为 安全 控制 所 做 的 一 切 投资 活动 都 要 有 稳健 的 网 络 安全 操作 模型 的 支持 。 运 行 良 好 的 SOC 固 然 重要 ， 但 传统 SOC 所 提 
供 的 被 动 防御 措 施 无 法 应 付 来 自 日 益 坚定 且 有 创新 性 的 攻击 者 的 挑战 。 


要 保护 信息 资产 不 仅 需要 基本 的 SOC 性 能 ， 还 要 有 主动 的 防御 措施 来 检测 、 诱 骗 、 阻 止 和 管理 外 部 及 内 部 攻击 者 。 很 多 企 
业 仍 在 创建 或 完善 SOC， 确 保 防 火 墙 、IDS、 防 毒 系统 、SIEM 平 台 等 基本 工具 套件 ， 企 业 还 雇用 了 与 以 上 相互 影响 的 网 络 安全 
分 析 师 。 主 动 的 防御 措施 需要 这 些 基本 工具 、 丰 富 的 分 析 平 台 及 精细 的 网 络 安全 分 析 师 之 间 更 为 紧密 的 融合 ， 以 获得 对 攻击 者 的 
深刻 洞察 力 并 对 要 采取 的 行动 给 出 建议 。 


实施 主动 防御 策略 将 需要 企业 大 幅 改变 安全 管理 流程 及 机 构 设 置 。 从 最 低 限 度 来 讲 ， 需 要 传统 5SOC 与 威胁 情报 团队 结合 ， 
旨 在 缩短 安全 决策 周期 ， 针 对 攻击 者 进行 实时 操作 ， 这 可 能 需要 重组 外 包 3OC 合 同 与 流程 流 。 整 合 程度 更 高 一 些 的 方法 中 ， 网 
络 安 全 职能 部 门 可 能 选择 与 带 有 支持 运作 结构 的 具体 对 抗 威胁 活动 紧密 合作 ， 快 速 做 决策 、 做 出 改变 。 


鉴于 富有 经 验 的 网 络 安全 人 才 的 稀缺 性 及 高 昂 成 本 ， 自 动 化 尽量 多 的 过 程 便 万 为 关键 ， 这 样 员工 可 将 自己 的 专业 知识 应 用 于 
最 高 优先 级 的 问题 。 例 如 ， 自 动 化 基本 分 类 功能 ， 能 让 网 络 安全 专业 人 员 去 从 事 “ 狩 猫 ” 和 与 敌人 交锋 的 更 高 价值 任务 中 去 。 


要 想 采 取 主 动 的 防御 措施 还 需要 改变 思维 方式 ， 要 检测 并 阻挡 攻击 者 ， 向 “狩猎 ”与 管理 攻击 者 转变 ， 也 需要 IT 基础 设施 的 
适度 调整 ， 人 允许“ 狩猎 ”团队 在 网 络 节点 间 搜 寻 敌 人 ， 人 允许 运营 团队 在 网 络 内 部 管理 密 链 、 焦 油 坑 及 诱骗 性 沙 箱 。 


虽然 ,创建 主动 防御 措施 最 艰难 的 工作 在 于 网 络 安 全 部 门 ， 但 是 企业 其 他 部 门 也 要 做 出 贡献 。 尤 其 是 ，|IT 管 理 者 将 需要 帮助 
生成 精细 分 析 法 所 需 的 数据 集 ，HR 管 理 者 帮助 在 保护 员工 隐私 与 识别 暗示 内 部 威胁 的 活动 间 保持 良好 的 平衡 。 


鉴于 有 如 此 多 的 要 求 ， 一 些 公 司 将 会 倾向 于 先 走 再 跑 一 一 先 设置 基础 SOC 能 力 ， 再 考虑 主动 防御 的 事情 。 不 幸 的 是 ， 攻 击 
者 已 经 跑 起 来 了 ， 他 们 不 会 等 待 防御 者 跟 上 他 们 的 脚步 。 


第 7 章 ”遭遇 攻击 后 : 提升 所 有 业务 部 门 的 应 急 啊 应 能 力 


企业 可 以 恰如其分 地 保护 好 重要 资产 ， 它 们 能 确保 网 络 安全 嵌入 了 企业 文化 与 系统 ， 能 设置 自己 的 防御 机 制 。 它 们 能 够 采取 
到 目前 为 止 我 们 所 描述 的 所 有 措施 ， 但 是 ， 它 们 还 将 遭遇 攻击 ， 网 络 攻击 也 变 得 越 来 越 先 进 ， 频 率 变 高 ， 后 果 更 为 令 人 惊 骇 。 当 
下 定 决心 的 敌人 一 心 要 找到 进入 企业 网 络 的 方法 时 ， 每 个 拥有 有 价值 数字 信息 的 企业 都 面临 着 重要 资产 遭遇 破坏 或 盗用 的 风险 。 


投资 者 会 被 非法 入 侵 事件 吓 到 ， 他 们 经 常 也 会 被 企业 应 对 甚至 知晓 的 缓慢 而 感到 惊 证 ， 不 足 为 奇 的 是 ， 网 络 破坏 会 影响 股东 
的 信心 。 对 于 试图 利用 新 的 数字 化 商业 模式 的 企业 来 说 ， 这 种 情况 尤为 严重 。 逐 渐 地 ，CISO 及 CEO 开 始 意 识 到 ， 相 比 网 络 破坏 
本 身 ， 对 网 络 破坏 的 迟缓 反应 会 更 多 地 影响 商业 价值 。 知 道 如 何 应 对 网 络 攻击 不 是 要 具备 良好 直觉 的 问题 ， 而 是 要 靠 习 得 和 牢记 
于 心 。 要 达到 专业 水 准 ， 需 要 开发 稳健 的 应 急 反 应 计划 ， 关 键 的 是 ， 企 业 要 不 断 地 通过 模拟 来 测试 和 挑战 该 计划 。 


遗憾 的 是 ， 大 多 企业 还 没有 准备 好 。 它 们 反应 被 动 ， 没 有 前 瞻 性 和 积极 主动 。 尽 管 认 识 到 网 络 攻击 还 会 继续 升级 ， 而 自己 也 
可 能 遭遇 攻击 ， 但 它们 仍 没 有 足够 仔细 地 考虑 如 何 应 对 ， 它 们 需要 知道 下 一 步 该 怎么 走 。 


美国 国防 部 (DoD) 每 年 在 网 络 安全 上 支出 50 亿 美元 1， 比 任何 其 他 国家 都 要 多 ， 然 而 他 们 仍 承认 自己 的 系统 远 非 坚 不 可 
摧 。 确 实 ，DoD 认 为 自己 的 非 保密 网 络 将 会 遭 渗透 ， 于 是 他 们 专注 于 万 一 有 网 络 攻击 发 生 时 如 何 能 维持 日 常 操作 。 和 所 有 好 的 
军事 机 构 一 样 ， 对 于 各 种 各 样 的 突 发 事件 ， 美 国防 部 都 制订 了 计划 。 但 他 们 也 不 抱 幻 想 自 己 会 永远 脱离 麻烦 或 者 仪 凭 技术 就 能 解 
决 所 有 问题 ， 其 思维 方式 是 时 刻 准备 好 应 对 攻击 。 


本 来 就 比 国防 部 在 网 络 安全 上 花费 少 得 多 的 企业 以 国防 部 为 榜样 将 能 做 得 更 好 。 不 存在 万 无 一 失 的 系统 ， 网 络 安 全 战 也 已 不 
仅 在 外 部 打响 ， 而 且 逐 渐 蔓 延 到 内 部 。 因 此 ， 思 想 前 卫 的 ClSO 们 开始 采用 检测 、 响 应 、 修 复 的 方法 ， 企 业 对 网 络 攻击 的 应 对 方 
式 也 要 对 市 场 、 客 户 及 监管 者 负责 ， 这 三 者 越 来 越 无 法 宽恕 企业 没有 准备 、 组 织 不 好 缺乏 合作 的 响应 措施 了 。 


曾经 传统 上 被 用 来 检测 漏洞 的 工具 ， 如 今 被 用 来 评估 安全 团队 检测 入 侵 的 能 力 ， 比 如 渗透 测试 。 例 如 ， 一 家 主流 技术 公司 每 
三 周 进行 一 次 渗透 测试 ， 但 是 其 目的 不 是 识别 脆弱 点 ， 而 是 检测 企业 的 安全 团队 是 否 能 找到 入 侵 并 恰当 响应 。 有 多 少 家 传统 企业 
能 说 做 到 了 这 点 ? 我 们 调查 的 企业 中 只 有 55% 进 行 了 某 种 系统 渗透 测试 ， 其 中 ， 几 乎 所 有 测试 都 是 旨 在 寻找 漏洞 ， 而 非 检测 网 络 
安全 团队 的 能 力 。 


对 网 络 攻击 的 响应 ，IT 部 门 的 响应 通常 也 是 最 为 先进 的 ， 但 他 们 的 响应 只 是 其 中 一 方面 。 在 很 多 企业 里 ， 更 大 的 挑战 是 将 广 
泛 的 响应 措施 整合 到 应 对 安全 事件 ， 建 立 起 持续 了 解 以 便 随 着 时 间 而 完善 响应 能 力 的 文化 。 


为 了 解决 这 些 问题 ， 企 业 要 在 三 个 方面 采取 措施 : @ 他 们 需要 制订 跨 职能 部 门 的 应 急 响 应 计划 ; @ 需 要 持续 测试 该 计划 ， 通 
过 严格 的 训练 与 作战 模拟 让 应 急 措施 嵌入 企业 ; @@ 对 于 真正 的 网 络 攻击 ， 企 业 需 要 进行 事后 分 析 ， 以 评估 响应 计划 的 有 效 性 并 做 
出 反馈 。 


制订 应 急 响应 计划 


应 急 响 应 (IR) 计划 的 首先 目标 是 ， 管 理 网 络 安全 事件 ， 并 有 效 限制 损失 、 提 高 外 部 股东 信心 、 降 低 修复 时 间 和 成 本 ， 这 可 
通过 三 个 途径 来 达成 : 更 为 清晰 的 决策 、 加 强 内 部 协调 与 问 责 制 、 与 第 三 方 更 为 紧密 的 协作 。 


更 为 清晰 的 决策 


一 家 保险 公司 的 核心 保险 系统 曾 被 恶意 软件 破坏 ， 该 软件 偷盗 公司 敏感 数据 ，CISO 单 方面 决定 将 核心 保险 系统 与 整个 网 络 
断 联 ， 然 而 没有 意识 到 该 系统 是 业务 基础 设施 的 关键 部 分 。 将 其 断 线 每 天 会 让 企业 损失 2000 万 美元 收入 。 当 这 位 CISO 宣 布 了 自 
己 的 意向 ， 业 务 经 营 负责 人 挑战 CISO 的 权威 ， 让 其 为 整个 企业 着 想 做 出 战略 性 决策 。 两 人 意见 不 合 ， 不 知道 谁 有 最 后 拍板 的 权 
力 ， 而 与 此 同时 ， 恶 意 软 件 还 在 继续 从 系统 中 偷 取 数 据 。 


相 比 之 下 ， 当 另外 一 家 保险 公司 的 安全 团队 确认 有 恶意 代码 感染 了 核心 应 用 程序 时 ， 管 理 团 队 达 成 一 致 决定 完全 关闭 网 络 访 
问 。 该 公司 明确 规定 了 决策 权 在 哪 方 ， 并 且 在 确定 了 特定 应 用 中 持续 的 数据 丢失 风险 会 造成 的 损失 大 于 停止 运作 的 损失 后 ， 决 策 
也 变 得 相对 简单 。 此 外 ， 该 公司 开发 了 隔离 网 络 重要 战略 部 分 的 标准 流程 ， 于 是 技术 团队 按照 一 步 步 指示 便 可 有 效 地 隔离 该 应 
用 。 


当 攻 击发 生 时 ， 企 业 各 部 门 管理 者 都 要 做 出 快速 决策 。 事 先 确 定 尽量 多 的 决策 方案 并 编 入 计划 中 ， 可 节省 时 间 ， 让 损失 最 小 


化 。 如 第 一 个 事例 ， 明 确 谁 有 权 根 据 处 于 危险 中 的 价值 做 出 决策 也 很 重要 。 很 多 时 候 ， 企 业 没 有 预期 这 样 的 决策 是 在 发 现 攻击 时 
的 混乱 时 刻 必须 做 出 的 。 


加 强 内 部 协调 与 问 责 制 


一 家 机 构 的 高 管 们 还 在 就 合适 的 信息 进行 讨论 时 ， 该 机 构 推迟 了 向 媒体 发 布 关于 网 络 攻击 的 重要 声明 。 由 于 责任 不 分 明 导 致 
了 这 次 推迟 ， 让 高 管 们 的 响应 速度 放 缓 。 高 管 明确 了 外 部 股东 列表 并 试图 召开 内 部 股东 会 议 来 讨论 诸多 事宜 。 


这 些 任务 中 有 很 多 可 提前 解决 。 在 一 家 大 型 零售 银行 经 历数 据 遭 遇 攻击 危机 的 初期 ， 客 户 服务 代表 利用 预先 批准 的 脚本 来 处 
理 询问 网 络 攻击 属性 的 客户 来 电 。 除 了 为 外 界 提 供 协调 一 致 的 消息 ， 这 也 意味 着 ， 高 管 及 安全 团队 可 专注 调查 数据 丢失 情况 ， 不 
必 在 百 忙中 还 要 为 对 外 发 布 的 消息 制订 方案 而 分 心 。 


不 过 ， 即 便 有 脚本 也 不 能 保证 完全 顺利 的 响应 。 另 外 一 家 金融 机 构 也 设置 了 这 样 的 脚本 ， 但 是 脚本 中 所 含 的 消息 与 监管 团队 
的 不 协调 ， 监 管 团 队 准备 提供 给 监管 者 的 消息 与 客服 代表 告诉 客户 的 消息 有 很 大 区 别 。 还 好 ， 管 理 人 员 及 时 发 现 了 这 一 情况 ， 避 
免 了 一 次 公关 下 梦 。 


是 这 种 协调 性 让 决策 有 了 意义 和 条 理 。 快 速 做 决策 固然 重要 ， 但 若 相互 矛盾 便 失 去 意义 。 据 我 们 所 了 解 ， 太 多 的 企业 试图 以 
分 权 的 形式 管理 网 络 安全 事件 。 昌 然 ， 一 份 有 效 的 IR 计 划 为 整个 企业 内 部 确立 职务 与 责任 ， 但 是 ， 我 们 经 常 看 到 企业 缺乏 负责 所 
有 应 急 响 应 措施 的 单一 领导 者 ， 这 是 可 防止 的 错误 。 


“现场 指挥 宦 ” 可 协调 此 中 的 不 同 团队 。 或 许 ， 这 个 人 的 职责 看 上 去 容易 提前 预见 和 实施 ， 但 是 要 充分 了 解 和 集合 起 相互 过 
异 的 部 门 ， 如 技术 取证 、 社 交 媒 体 监控 等 ， 通 常 一 个 人 无 法 具备 这 些 技术 组 合 。 不 过 ， 最 佳 实践 显示 ， 有 单一 领导 者 来 管理 应 急 
响应 能 使 相应 的 措施 更 为 全 面 、 一 致 ， 且 决策 权 了 明晰 。 在 很 多 企业 机 构 里 ， 这 名 指挥 官 来 自 企 业 连 续 性 经 营 部 门 ， 不 过 ， 来 自 IT 
部 门 的 高 级 !T 安 全 主管 或 风险 管理 部 门 的 领导 也 容易 成 为 指挥 官 。 而 CISO 通 常 未 必 最 适合 这 项 任务 ， 原 因 在 于 ， 他 们 要 集中 精 

力 从 战略 上 思考 响应 措施 ， 而 指挥 官 则 负责 协调 战术 行动 。 


有 效 的 计划 ， 意 味 着 事先 确定 所 有 企业 职能 部 门将 如 何 协 作 : 企业 通信 、 上 监管 事务 、 法 律 、 合 规 及 审计 、 业 务 操作 等 。 强 有 
力 的 协调 ， 加 之 易于 获取 的 IR 文 件 ， 可 确保 企业 能 在 发 生 紧急 事件 时 反应 更 敏捷 。 


与 第 三 方 更 为 紧密 的 协作 


有 效 的 IR 计 划 应 帮助 企业 促进 与 重要 第 三 方 的 关系 ， 如 执法 机 构 、 破 坏 修复 和 电子 取证 专家 等 <。 通 常 ， 缺 乏 计 划 或 对 大 大 
泻 染 私事 丑 事 的 行为 保持 沉默 ， 都 会 在 很 大 程度 上 阻碍 有 效 的 应 急 响 应 。 一 家 金融 服务 公司 没有 与 一 家 第 三 方 取证 公司 订立 合 
同 ， 在 一 次 网 络 攻 击 中 ， 该 公司 错失 了 关键 时 刻 ， 并 且 在 几 天 后 ， 采 购 部 门 还 不 得 不 完成 新 合同 ， 取 证 公司 则 要 自己 熟悉 该 企业 
网 络 ， 而 这 些 都 是 可 事先 做 好 的 事情 。 


另 一 个 事例 中 ， 一 家 北美 公司 的 法 律 团队 坚 称 ， 由 于 网 络 破坏 而 出 现 了 重罪 现象 。 然 而 CISO 不 想 与 执法 官员 联系 ， 害 怕 为 
审判 保存 法 庭 证 据 而 影响 到 业务 延续 性 。 而 更 糟糕 的 是 ， 管 理 者 甚至 都 不 确定 要 联系 哪个 执法 机 构 。 


相 比 之 下 ， 当 现代 资本 公司 (Hyundai Capital) 意识 到 自己 遭遇 网 络 袭 击 了 ， 他 们 立刻 联系 恰当 的 执法 机 构 ， 后 者 快速 行 
动 起 来 。 进 而 ， 犯 罪 者 受到 相对 快速 的 跟踪 ， 袭击 的 破坏 范围 得 到 有 效 控制 。 


克服 现 有 IR 计划 的 不 足 之 处 


很 多 企业 已 经 制订 了 IR 计 划 。 确 实 ， 一 些 领先 的 企业 机 构 会 在 这 些 计划 上 投入 大 量 的 时 间 、 金 钱 与 精力 。 在 一 家 代表 性 企业 


中 ，IR 计 划 超 过 80 页 ， 出 自 专 业 人 士 之 手 。 当 时 ， 团 队 成 员 用 了 相当 于 20 个 月 的 时 间 来 草拟 制订 。 


遗憾 的 是 ， 这 些 已 有 的 计划 中 少 有 足够 稳健 的 ， 就 此 前 摘 述 的 三 个 目标 ， 它 们 很 难 真正 实现 。 遇 到 危机 时 ， 计 划 应 引领 具体 
的 操作 和 措施 ， 而 它们 往往 太 过 空 泛 ; 而 主要 决策 者 通常 看 不 到 计划 ， 计 划 太 过 于 依赖 于 一 两 个 业内 专家 ， 但 在 他 们 无 法 到 职 时 
就 成 为 一 个 故障 点 。 最 糟糕 的 是 ， 我 们 有 时 看 到 ， 在 处 理 特定 业务 部 门 遭遇 攻击 的 情况 时 很 有 用 的 局 部 优化 的 响应 计划 ， 不 能 
效 的 管理 整个 企业 的 遇 袭 事件 。 在 简 仓 里 开发 个 别 计划 也 会 抑制 对 相关 知识 和 最 佳 实践 的 分 享 。 


一 份 有 效 的 IR 计 划 可 解决 这 些 短处 ， 但 是 ， 不 管 是 重新 制订 计划 还 是 改善 已 有 计划 ， 制 订 这 样 的 计划 都 需要 大 量 工 作 和 专门 
的 项 目 资金 ， 并 且 这 应 被 视 为 正式 的 计划 。 在 开始 制订 计划 之 前 ， 最 佳 实践 企业 应 评估 现 有 的 响应 方案 、 确 认 处 于 风险 中 的 最 重 
要 资产 。 还 要 弄 清楚 ， 在 出 现 紧急 情况 时 ， 应 该 召唤 哪个 重要 职能 部 门 ， 并 在 每 个 部 门 中 指派 专业 人 士 和 支援 人 员 (他 们 也 需要 
做 足 准备 ) ， 这 些 人 员 形 成 核心 IR 团 队 。 


每 个 主要 职能 负责 人 都 负责 维护 其 在 IR 计 划 中 的 那 一 部 分 ，IR 团 队 领 导 (可 能 是 CISO) 要 确保 计划 及 跨 职能 部 门 的 联系 能 
得 到 不 断 更 新 。 这 样 的 计划 设置 巩固 了 这 一 理念 : IR 计 划 不 仅 是 网 络 安全 部 门 的 计划 ， 它 相当 于 另 一 个 常规 业务 实践 。 


现 有 的 响应 方案 是 有 用 的 框架 ， 可 以 在 此 基础 上 开发 IR 计 划 模 板 。 在 对 现 有 环境 有 了 扎实 的 了 解 之 后 ， 企 业 可 评估 原 有 计划 
的 有 效 性 ， 他 们 需要 识别 出 对 每 次 事件 的 响应 中 存在 的 任何 问题 ， 诊 断 潜在 后 果 ， 制 定 一 份 可 能 出 错 内 容 的 详细 列表 。 


我 们 在 此 前 章节 谈 到 ， 为 了 能 够 开发 出 特定 于 数据 的 保护 措施 ， 企 业 需要 确认 哪些 信息 资产 对 业务 操作 最 为 重要 。 因 此 ，IR 
团队 要 与 销售 、 市 场 营销 、 运 营 、IT、 安 全 、 监 管事 务 及 通信 部 门 关 键 人 员 会 谈 ， 了 解 漏洞 及 潜在 威胁 一 一 车 资产 受到 攻击 会 产 
生 的 业务 影响 及 所 需 的 响应 。 这 就 意味 着 ， 当 需要 制订 IR 计 划 时 ， 响 应 是 有 的 放 矢 的 ， 而 非 泛 化 的 。 我 们 后 面 将 讨论 的 作战 模拟 
过 程 是 了 解 什么 处 在 危险 中 的 另 一 个 重要 工具 。 


一 旦 IR 团 队 创建 了 IR 文 件 结构 ， 就 应 与 安全 团队 分 享 ， 这 不 仅 能 获得 来 自 终端 用 户 的 有 价值 反馈 ， 还 能 激发 这 一 工具 的 活 
力 。 


稳健 IR 计划 的 组 成 部 分 


对 于 IR 计 划 ， 没 有 既定 的 模板 ， 不 过 ， 最 为 有 效 的 计划 都 包含 事件 和 资产 分 类 、 明 确 的 责任 和 作战 室 设置 以 及 脚本 ， 这 是 核 
心 的 ， 脚 本 应 分 解 为 每 个 合理 的 场景 。 


事件 和 资产 分 类 


即便 是 在 美国 以 外 的 企业 ， 通 常 也 遵循 美国 国家 标准 与 技术 研究 院 设 定 的 事件 分 类 。 概 括 地 讲 ， 该 机 构 将 事件 分 为 未 授权 使 
用 、 恶 意 代码 、 拒 绝 服 务 及 不 当 使 用 。 采 用 通用 的 分 类 法 能 让 企业 间 易于 共享 安全 情报 ， 也 能 让 企业 内 部 交流 标准 化 。 同 样 ， 企 
业内 部 整体 对 关键 信息 资产 有 协调 一 致 的 看 法 ， 将 在 了 解 受 攻击 信息 类 型 的 基础 上 ， 确 保 采 取 适 当 的 响应 措施 。 例 如 ， 对 个 人 可 
识别 客户 信息 的 攻击 的 响应 措施 ， 不 同 于 收购 兼并 (M&A) 策略 遭 攻击 所 采用 的 响应 措施 。 因 此 ， 对 重要 信息 资产 有 确认 有 效 
的 分 类 法 是 正确 应 对 攻击 的 起 点 。 


明确 的 责任 和 作战 室 设置 


作战 室 是 重要 的 IR 工 具 ， 此 概念 在 军事 上 可 谓 老生 常 谈 ， 但 也 适用 于 网 络 攻击 。 作 战 室 是 一 实际 地 点 ， 里 面 设 有 支持 性 基础 
设施 (IT 连接 、 通 信 系统 、 安 全 设施 ， 以 及 零食 ) ， 预 先 设置 的 IR 团 队 聚 集 于 此 分 享 信息 、 加 速决 策 ， 在 响应 事件 的 同时 ， 确 保 
大 家 团结 努力 。 


每 个 代表 重要 职能 部 门 的 团队 成 员 ， 都 有 决策 权 ， 但 是 由 现场 指挥 官 管理 作战 室 ， 规 定 报告 节奏 、 管 理 决 策 流程 。 配 备 一 位 
书记 员 也 很 重要 ， 他 们 可 以 记录 下 所 有 决策 以 及 形成 这 些 决 策 的 设想 、 要 采取 的 措施 以 及 所 需 的 外 部 通信 传播 。 书 记 员 也 要 记录 


所 有 尚未 解决 的 事宜 ， 以 防 成 员 们 因 工 作 中 分 心 而 忘记 做 某 件 事 。 到 了 股东 或 监管 者 检查 团队 为 何 做 出 某 些 决策 时 ， 所 有 这 些 信 
息 就 是 重要 的 证 据 。 


IR 计 划 需 要 详细 说 明 处 理应 急事 件 时 的 团队 结构 、 个 人 角色 及 责任 (依据 处 于 风险 中 的 资产 类 型 ) 、 升 级 流程 及 作战 室 协 
议 。 例 如 ， 具体 规定 出 这 些 内 容 是 非常 重要 的 : 在 决策 流程 中 何 时 要 有 管理 层 参与 、 何 时 启动 作战 室 、 高 管 何 时 需要 采取 果断 措 
施 ， 如 隔离 网 络 的 一 部 分 或 关闭 核心 应 用 程序 。 运 营 模 式 也 会 记录 重要 的 决策 权力 ， 如 谁 来 批准 与 执法 机 构 联系 、 联 系 哪些 机 
构 。 


脚本 


响应 脚本 本 身 包含 程序 指南 (包括 控制 、 消 除 和 修复 清单 ) ， 以 及 依据 治理 、 风 险 及 合 规 性 方面 响应 记录 指南 。 对 不 同类 型 
的 数据 和 攻击 事件 ， 具 体 采取 的 方法 也 不 同 。 


即便 攻击 事件 属于 同 种 类 型 (如 都 是 恶意 代码 攻击 ) ， 基 于 企业 认为 的 处 于 危险 中 的 信息 资产 ， 企 业 也 会 采取 不 同 的 响应 措 
施 。 换 言 之 ， 由 于 业务 影响 会 不 同 ， 受 到 破坏 的 数据 类 型 将 决定 响应 措施 。 这 是 IR 计 划 最 重要 的 元 素 ， 很 大 程度 上 决定 整个 响应 
措施 的 成 败 。 


哪怕 攻击 类 型 是 一 样 的 ， 企 业 也 会 有 不 同 的 方案 应 对 ， 例 如 ， 一 家 公司 中 ， 对 于 机 密 客 户 数据 丢失 ， 会 有 一 套 响应 流程 ， 对 
于 重要 IP 丢 失 会 有 完全 不 同 的 一 套 响 应 措施 。 每 个 情况 中 的 利益 相关 者 不 一 样 ， 企 业 用 于 减轻 损失 而 要 分 配 的 资源 也 不 一 样 。 


举例 来 说 ， 客 户 数 据 丢失 风险 的 响应 目标 是 ， 在 4 个 小 时 内 识别 受 影 响 的 客户 数量 及 数据 丢失 的 范围 ， 在 8 个 小 时 内 ， 安 全 
团队 就 要 清楚 地 了 解 谁 该 对 盗窃 事件 负责 ， 并 预 估 商 业 影 响 。 而 如 果 网 络 攻击 的 是 M&A 细 节 内 容 ， 那 么 响应 目标 会 是 ， 在 24 人 小 
时 内 确定 每 个 交易 细节 的 影响 ， 接 着 这 会 促使 一 系列 行动 ， 如 通知 关键 方 ， 包 括 监管 者 、 交 易 方 的 利益 相关 者 及 投资 商 。 


脚本 中 还 应 澄清 何 时 进行 通知 ， 这 点 上 不 同 国家 甚至 在 美国 不 同 的 州 会 有 所 不 同 。 到 2014 年 9 月 ， 美 国 47 个 州 有 相关 规定 要 
求 ， 如 果 个 人 可 识别 信息 受到 危及 了 ， 私 莒 和 政府 部 门 要 通知 个 人 。 不 过 ， 在 谁 必须 遵守 、“ 个 人 可 识别 信息 ”具体 意味 着 什 
么 、 “危及 ”又 意味 着 什么 、 通 知 期 限 及 责任 免除 等 方面 ， 这 些 法 律 规定 不 尽 相 同 。 这 些 州 级 别 的 报告 要 求 是 联邦 监管 部 门 任何 
要 求 之 外 的 要 求 3。 


甚至 连 团队 设置 及 运营 模式 都 因 事件 类 型 不 同 而 有 所 区 别 ， 角 色 和 责任 分 配给 特定 的 个 人 ， 一 些 精 细 的 IR 团 队 会 分 派 个 人 与 
特定 的 司法 或 监管 机 构 打 交道 。 这 样 团 队 的 构成 将 需 是 灵活 的 ， 还 要 取决 于 受 攻击 记录 的 位 置 。 


利用 模拟 作战 来 测试 计划 


如 果 企 业 不 能 精通 如 何 使 用 IR 计 划 或 不 定期 升级 计划 ， 那 即便 是 一 份 设计 精细 的 IR 计 划 也 只 有 有 限 的 用 途 。 它 不 是 一 份 静态 
文档 ， 不 应 该 掩埋 在 文件 里 ， 而 是 要 融入 企业 的 整体 构架 。 每 次 事件 过 后 ， 都 需要 更 新 计划 ， 需 要 不 断 地 去 发 现 其 存在 的 漏洞 ， 
即 哪 里 可 能 出 错 ， 并 做 出 适当 的 调整 。 


最 佳 实践 企业 会 确保 该 计划 广泛 分 配 到 企业 的 每 个 相关 部 门 。 该 计划 应 可 打印 、 可 阅读 电子 版 ， 也 可 在 内 部 网 络 平台 阅读 。 
而 极 好 的 IR 计 划 与 良好 IR 计 划 之 间 的 差别 在 于 ， 极 好 的 计划 要 通过 定期 培训 和 实践 嵌入 企业 肌肉 记忆 。 要 达成 这 点 ， 需 要 有 力 的 
模拟 作战 技术 ， 这 并 不 能 轻易 实现 。 一 家 拥有 多 个 业务 部 门 的 大 型 企业 应 努力 实现 每 季度 进行 一 次 模拟 ， 每 次 的 场景 都 不 相同 。 
较 小 型 的 企业 可 能 会 在 整个 企业 范围 一 年 进行 两 次 模拟 ， 这 看 上 去 要 耗费 很 多 时 间 ， 但 很 重要 。 对 (不 可 避免 的 ) 网 络 攻击 响应 
较 差 或 较 慢 会 产生 很 大 影响 。 


一 直 以 来 ， 武 装 力量 都 会 进行 模拟 作战 来 测试 其 能 力 ， 揭 露 作战 计划 中 的 缺口 ， 并 增进 领导 及 时 决策 能 力 。 主 流 企业 已 接受 
这 一 理念 并 开始 进行 模拟 作战 ， 以 确保 在 CEO 询 问 “准备 好 了 吗 ” 时 能 有 个 恰如其分 的 回答 。 网 络 模拟 作战 不 同 于 传统 的 渗透 
测试 ， 在 渗透 测试 中 ， 企 业 会 雇用 黑客 来 识别 技术 漏洞 ， 如 不 安全 的 网 络 端口 ， 或 在 菜单 栏 分 享 过 多 信息 的 面向 外 部 的 项 目 。 


网 络 模拟 作战 要 更 为 复杂 ， 通 过 模拟 ， 可 深度 观察 哪些 信息 资产 需要 保护 、 哪 里 有 攻击 者 可 以 利用 的 漏洞 、 企 业 响 应 攻击 的 
能 力 缺 陷 所 在 ， 尤 其 是 重要 的 通信 领域 以 及 决策 过 程 。 


如 前 所 述 ， 构 建 一 场 模拟 作战 的 行为 ， 会 开启 业务 及 安全 部 门 管理 者 的 诸多 讨论 : 哪些 类 型 的 信息 资产 最 为 重要 、 有 谁 可 能 
攻击 它们 ， 就 |P 丢 失 、 名 誉 损失 或 业务 中 断 方面 来 讲 攻击 的 影响 几何 。 一 个 公立 机 构 发 现 ， 通 过 设计 一 场 模拟 作战 ， 同 时 ， 其 大 
部 分 上 T 安 全 过 程 针 对 预防 在 线 欺 诈 ， 该 机 构 最 大 的 风险 实际 上 是 与 公开 网 络 破坏 有 关 的 信心 缺失 。 


要 确保 用 于 模拟 作战 的 场景 是 现实 逼真 的 ， 需 要 做 完整 的 分 析 ， 而 这 所 需 的 分 析 可 突出 重要 的 安全 漏洞 。 一 家 零售 经 纪 公司 
在 准备 模拟 作战 过 程 中 发 现 ， 其 大 部 分 最 敏感 的 数据 托管 在 安全 性 差 的 应 用 程序 上 ， 这 些 应 用 未 经 安全 审查 ， 且 还 在 用 过 时 的 控 
制 措施 来 验证 用 户 。 


如 何 运 作 一 场 模拟 作战 


上 演 一 场 模拟 作战 的 第 一 步 即 为 让 模拟 学 围 和 目标 一 致 。 模 拟 作战 应 围绕 一 个 业务 场景 ， 而 不 是 纯粹 围绕 针对 某 项 技术 的 攻 
击 ， 而 且 该 场景 应 与 特定 企业 可 能 遭受 的 潜在 攻击 和 处 在 风险 中 的 资产 密切 相关 。 举 例 来 说 ， 在 一 家 银行 设置 的 场景 中 ， 网 络 罪 
犯 利用 鱼 叉 式 网 络 钓鱼 攻击 来 瞄准 高 净值 客户 ， 以 便 对 他 们 进行 诈骗 ， 而 一 家 高 科技 公司 的 模拟 场景 中 ， 一 位 技术 先进 的 攻击 者 
收买 了 企业 内 部 人 士 去 安装 恶意 软件 ， 该 软件 可 用 于 偷盗 关键 |P。 表 7-1 概 括 了 模拟 作战 不 同 阶段 需要 做 的 不 同 决策 。 


表 7-1 一 场 模拟 作战 可 测试 企业 的 程序 与 神经 


所 需 决 策 


员工 报告 称 ， 黑 客 在 地 下 网 站 
吹 嗪 ， 他 们 偷偷 盗 出 五 个 对 冲 基 
金 客 户 的 数据 ， 这 些 客 户 供职 于 
网 络 攻 击 的 最 初 迹象 | 石油 和 天 然 气 行业 。 安 全 系统 和 
网 络 日 志 的 数据 显示 ， 可 能 出 现 
了 网 络 攻击 ， 但 数据 仍 是 不 确 
定 的 


黑客 行为 主义 者 发 起 联系 ， 宣 
称 他 们 有 能 力 访 问 银行 大 客户 几 
周 的 交易 数据 。 作 为 证 明 ， 他 们 
黑客 行为 主义 者 发 出 | 传 来 一 个 客户 的 一 周 交 易 数据 。 
最 后 通 赚 他 们 宣称 ， 如 果 银 行 不 公开 承诺 
停止 在 石油 和 天 然 气 领域 的 所 有 
交易 和 “投机 ”行为 ， 他 们 就 会 在 
网 上 披露 所 有 客户 数据 


鉴于 你 所 掌握 的 情况 ， 你 
要 联系 受 影响 的 客户 还 是 先 
等 一 等 ? 你 要 和 监管 者 交流 沟 
通 吗 


对 此 通 谨 ,你 是 忽略 还 是 
做 出 反应 ”你 是 否 与 黑客 行 
为 主义 者 联系 、 与 他 们 对 
话 ? 你 是 否 与 执法 机 构 展 开 
了 合作 


你 怎么 回应 外 部 媒体 ? 你 
会 证 实 这 些 信 息 吗 ? 内 部 如 
何 沟通 ? 你 会 与 客户 进行 任 
何 广 泛 的 交流 吗 


备 受 推崇 的 新 闻 机 构 联 系 银行 
媒体 质问 称 他 们 正在 证 实 这 一 信息 : 银行 系 
统 遭 攻击 危及 了 客户 数据 


安全 团队 确认 银行 是 被 盗 数据 
的 源头 ， 该 团队 认为 有 一 两 个 核 
可 获得 初步 取证 心 交 易 系 统 局 部 遭 破 坏 。CISO | ”你 会 关闭 受 影响 的 系统 吗 
建议 关闭 受 影响 的 系统 以 完成 取 
证 一 一 这 将 严重 限制 交易 活动 


企业 需要 决定 模拟 作战 中 融入 多 少 个 场景 、 这 些 场景 的 复杂 程度 如 何 、 每 个 业务 部 门 所 需 的 参与 度 是 怎样 的 ， 尤 其 是 那些 设 
计 和 管理 模拟 作战 的 部 门 的 参与 程度 。 选 择 了 场景 之 后 ， 管 理 模拟 作战 的 团队 确认 需要 测试 的 响应 故障 ， 并 拟定 具体 的 脚本 ， 协 
调 人 员 会 使 用 到 脚本 。 


模拟 作战 应 模拟 真实 攻击 的 经 历 : 参与 者 接收 到 不 完全 的 信息 、 目 标 没 有 完全 协调 一 致 ( 见 图 7-1) 。 当 然 ， 模 拟 中 应 包含 
信息 安全 及 IT 之 外 的 更 为 广泛 的 参与 者 ， 要 包括 客户 服务 、 运 营 、 市 场 营 销 、 法 律 、 政 府 事 务 及 企业 通信 等 部 门 。 这 些 模拟 作战 
会 实时 发 生 ， 根 据 场 景 的 复杂 程度 会 延续 一 天 、 一 周 甚至 更 长 时 间 。 在 整个 模拟 过 程 中 ， 协 调 人 员 将 为 参与 者 提供 信息 、 该 采取 
什么 措施 。 参 与 者 每 一 次 获得 的 信息 取决 于 他 们 刚刚 采取 了 什么 措施 。 当 然 ， 模 拟 过 程 中 没有 正在 运行 中 的 系统 参与 其 中 。 


对 事件 /响应 的 简化 版 
模拟 作战 响应 
“ 对 于 数据 泄露 风险 ， 网 络 安全 团队 
没有 理 清 头绪 
* 对 高 级 管理 者 报告 笔记 本 运转 速度 


慢 进行 临时 性 的 讨论 ， 同 时 ， 响 应 
方案 没有 提供 清晰 的 指导 


上 午 11 点 45 分 


内 部 员工 通关 

we 使 用 USB 洪 露 企 RD2A @ 妆 RI& @y 
业 敏感 数据 ， 但 

在 网 络 上 留 下 了 凌晨 12 点 


FBI 通 报 员 企业 敏感 


内 部 人 士 @ 工 PII 被 卖 给 
通过 VPN， 供 -人 仅 头 二 一 数据 被 发 布 一 
泄露 数据 应 商 内 部 人 十 泄 身份 信息 窗 | “在 社交 网 站 上 
露 工资 管理 系统 取 者 
中 员工 个 人 验证 
信息 (PII ) 并 卖 
到 黑市 上 
模拟 作战 响应 模拟 作战 响应 模拟 作战 响应 
* 团队 注重 技术 上 的 DLP " 网 络 安全 团队 后 知 后 觉 " 团队 让 通信 团队 发 布 新 
警报 取证 ， 而 没有 联系 地 审视 员工 数据 泄露 闻 稿 ， 并 将 经 批准 的 消 
起 此 前 的 通报 " 团队 将 事件 升级 并 反映 息 传 播 给 所 有 面向 客户 
给 隐私 团队 ， 并 让 通信 的 部 门 
小 组 撰写 响应 消息 


图 7-1 让 模拟 作战 场景 立足 于 企业 高 风险 事件 


模拟 作战 应 揭露 企业 应 对 攻击 中 的 任何 能 力 缺 陷 。 模 拟 作战 尤其 应 察看 响应 的 三 个 方面 : @ 识 别 和 评估 网 络 攻击 的 速度 ，@ 
控制 攻击 的 决策 有 效 性 ; @ 与 利益 相关 者 交流 沟通 的 有 效 性 。 


识别 和 评估 网 络 攻 击 的 速度 


一 家 企业 发 现 ， 解 决 攻击 的 过 程 完全 依赖 于 电子 邮件 和 即时 消息 。 如 果 攻 击 本 身 破坏 了 这 些 系统 ， 那 么 企业 的 响应 能 力 会 受 
到 严重 影响 。 


控制 攻击 的 决策 有 效 性 


一 家 大 型 跨国 保险 公司 发 现 ， 企 业 没有 对 何 时 关闭 部 分 !T 系 统 的 决策 制定 指南 。 在 模拟 作战 过 程 中 ， 高 层 管理 者 命令 技术 团 
队 切 断 外 部 连接 ， 即 便 这 在 现实 世界 中 并 不 是 所 需 的 ， 切 断 外 部 连接 会 阻止 客户 访问 他 们 的 账户 。 另 一 事例 中 ， 一 家 制造 业 公司 
的 业务 领导 意识 到 ， 他 们 从 来 没有 彻底 考量 竞争 对 手 或 承包 商 访问 敏感 信息 会 带 来 的 影响 ， 这 就 意味 着 ， 如 果 有 关 成 本 结构 的 企 
业 专 有 信息 泄露 了 ， 他 们 并 没有 准备 好 快速 改变 谈判 策略 。 


与 利益 相关 者 交流 沟通 的 有 效 性 


测试 钓鱼 式 攻击 场景 的 银行 模拟 作战 中 显示 ， 该 银行 并 没有 与 数据 被 盗 的 客户 进行 沟通 的 指南 。 若 在 现实 攻击 中 ， 这 会 导致 
那些 有 价值 的 高 净值 客户 会 收 到 通用 的 、 冷 漠 的 电邮 ， 而 非 客 户 所 期 待 的 定制 个 性 化 的 通信 消息 。 


随 着 模拟 作战 的 结束 ， 企 业 存 在 的 缺陷 显而易见 ， 最 后 也 是 最 重要 的 一 个 阶段 就 是 ， 要 将 模拟 作战 中 识破 的 漏洞 转化 为 可 行 
常 这 会 涉 


的 步骤 ， 来 提高 企业 对 攻击 的 响应 能 力 。 通 常 这 会 涉及 很 多 方面 ， 实 施 可 以 提高 攻击 可 见 性 的 工具 (如 先进 的 分 析 引 警 ， 可 检测 


可 能 出 现 了 零 日 攻击 的 异常 迹象 ) 、 明 确 责 任 、 对 在 高 压 情况 下 做 高 风险 决策 制定 指南 及 创建 需要 时 即 可 用 的 通信 方案 等 。 


大 多 企业 可 在 6~12 周 里 策划 和 进行 模拟 作战 ， 且 对 管理 人 员 产 生 可 以 接受 的 影响 。 如 我 们 在 前 面 提 及 的 ， 模 拟 作战 不 是 一 
次 性 的 演练 ， 网 络 安全 的 格局 要 动态 得 多 ， 任 何 企业 都 不 能 故 步 自封 。 虽 然 进行 模拟 作战 确实 需要 精力 去 策划 ， 但 是 在 区 分 资产 
保护 优先 级 、 揭 圳 漏洞、 识别 响应 能 力 中 的 缺陷 、 构 建 所 需 的 肌肉 记忆 以 在 有 限 信息 情况 下 实时 做 出 适当 决策 的 能 力 上 ， 模 拟 作 
战 是 最 有 效 的 机 制 之 一 。 


对 真正 的 网 络 攻击 进行 事后 分 析 以 完善 计划 


模拟 作战 无 法 阻止 攻击 的 发 生 。 不 断 升 级 和 完善 IR 计 划 的 部 分 目的 是 ， 当 攻击 真 的 发 生 时 ， 能 融合 起 模拟 作战 中 对 攻击 响应 
的 成 果 。 这 样 ， 错 误 可 得 到 矫正 ， 响 应 方案 可 得 到 完善 。 主 流 企 业已 经 做 到 ， 在 一 次 有 意义 的 攻击 (如 因数 据 被 盗 而 触发 响应 的 
一 次 攻击 ) 之 后 ， 他 们 要 退 一 步 审 视 IR 计 划 如 何 起 作用 。 然 而 ， 极 少 企业 会 做 彻底 的 事后 分 析 。 事 后 分 析 报 告 应 分 析 事 件 类 型 、 
确定 其 分 类 是 否 准确 (这 决定 响应 类 型 ) 、 检 查 攻 击 者 做 了 什么 、 安 全 团队 与 其 他 职能 部 门 所 采取 的 具体 措施 步骤 及 他 们 相互 协 
调 的 程度 、 事 件 时 间 线 等 ， 以 便 识别 低 效 现象 、 错 误 及 IR 计 划 在 哪 方面 缺乏 信息 。 


大 多 企业 将 事后 分 析 责 任 指定 给 安全 运营 团队 ， 但 是 它们 倾向 于 几乎 仅仅 关注 技术 性 的 事后 分 析 ， 比 如 攻击 者 用 了 哪 种 恶意 
软件 、 攻 击 者 试图 利用 哪些 系统 等 。 但 是 这 忽视 了 企业 如 何 响应 ， 这 对 利益 相关 者 来 说 十 分 重要 。 因 此 ， 事 后 分 析 应 不 由 CISO 
负责 ， 而 是 交 由 负 有 跨 职能 部 门 责 任 的 人 来 从 事 。 


事后 分 析 团 队 也 能 进行 假设 分 析 ， 来 确定 在 每 个 阶段 的 不 同 响应 如 何 影响 到 攻击 的 效力 。 然 后 ， 所 有 这 些 数 据 需要 向 上 反馈 
并 纳入 IR 计 划 ， 成 为 企业 持续 测试 和 了解 如 何 响应 网 络 安全 事件 的 不 可 缺少 的 一 部 分 。 


企业 可 区 分 其 信息 资产 的 优先 级 ， 决 定 对 于 每 个 重要 的 信息 资产 来 说 实施 哪些 防御 机 制 最 为 有 效 ， 企 业 可 以 将 安全 融入 核心 
业务 流程 、 改 变 一 线 员工 行为 ， 也 可 为 其 应 用 程序 及 基础 设施 构架 构建 安全 性 ， 可 实施 主动 的 防御 措施 。 这 些 都 可 以 减少 企业 遗 
受 攻击 的 可 能 ,但 是 没有 哪 一 项 措施 可 确保 企业 不 会 受到 攻击 。 因 此 ， 要 实现 数字 化 适应 力 需要 创造 并 积极 测试 针对 攻击 的 IR 能 
力 ， 而 且 不 仅仅 在 技术 相关 部 门 ， 而 是 在 所 有 企业 职能 部 门 。 


要 在 这 一 方面 取得 进步 ， 就 要 求 参与 模拟 作战 的 几乎 每 个 业务 领域 的 高 层 管理 者 都 参与 检测 和 完善 响应 能 力 。 此 外 ， 法 律 总 
顾问 、 首 席 风 险 官 及 首席 信息 官 要 支持 网 络 安全 IR 计 划 与 其 他 企业 风险 管理 计划 同步 进行 。 


第 8 草 ”构建 起 推动 企业 走向 数字 化 适应 力 的 项 目 


实施 一 系列 不 相关 联 的 技术 或 流程 上 的 改变 并 不 会 带 来 数字 化 适应 力 ， 本 书 描述 的 方法 工具 是 相互 联系 、 互 相 促进 的 系统 ， 
实施 起 来 需要 巨大 的 行为 改变 ， 而 且 不 仅仅 是 在 网 络 安全 部 门 内 ， 还 需 跨 IT 及 所 有 主要 商业 流程 及 部 门 。 这 种 规模 的 改变 需要 企 
业 解 决 一 系 列 艰 巨 的 结构 上 和 组 织 上 的 挑战 ， 包 括 改变 一 些 根深 蒂 固 的 思维 定式 : 有 关 网 络 安全 旨 在 达成 的 目标 及 谁 对 此 负责 的 


思维 o 


虽然 面临 如 此 规模 的 挑战 ， 然 而 ， 即 便 一 些 最 大 型 、 技 术 最 先进 的 组 织 也 没 能 意识 到 所 需 的 改变 范围 。 它 们 试图 避免 问题 ， 


而 非 直 面 并 解决 问题 ， 其 安全 项 目 仍 停留 在 注重 一 系列 技术 实施 方案 ， 而 非 对 运营 模式 进行 根本 性 改变 。 结 果 往 往 是 得 不 到 企业 
整体 的 全 面 支持 ， 这 会 让 决策 复杂 化 、 放 缓 实施、 降低 所 需 资源 对 项 目 有 效 的 概率 。 


实际 上 ， 那 些 锋 隘 的 方法 不 仅 增 加 了 企业 遭遇 攻击 的 风险 ， 也 会 让 企业 面临 创新 和 发 展 能 力 放 绥 的 风险 ， 也 为 企业 从 技术 获 
得 价值 预期 损失 3 万 亿美 元 “贡献 ”了 力量 。 


企业 必须 理解 ， 就 实际 而 言 ， 通 往 数 字 化 适应 力 的 旅程 意味 着 什么 ， 他 们 需要 明确 如 何 通 过 周密 的 计划 来 到 达 数 字 化 适应 
力 ， 该 计划 能 十 分 清晰 地 展示 出 ， 从 项 目 设计 到 落实 所 有 程序 的 优先 顺序 。 至 天 重要 的 是 ， 企 业 必须 确保 整体 的 改变 来 源 于 长 远 
的 业务 需要 ， 而 非 技术 上 的 权宜 之 计 。 


要 实现 数字 化 适应 力 需要 什么 条 件 


闪 


要 实现 数字 化 适应 力 ， 企 业 面 临 着 以 下 三 个 主要 挑战 : 


第 一 ， 企 业 需要 让 各 业务 部 门 参与 、 协 作 ， 区 分 业务 风险 优先 级 、 做 出 明智 的 取舍 、 实 施 能 帮助 保护 信息 资产 的 业务 改革 。 
过 于 频繁 的 是 ， 企 业 会 进行 完全 触及 不 了 真正 问题 的 机 械 评估 。 


第 二 ， 在 企业 的 IT 部 门 应 优先 适应 力 问题 ， 而 该 部 门 已 经 习惯 于 短期 成 本 及 速度 目标 。 
第 三 ， 企 业 需要 提升 网 络 安全 部 门 的 能 力 ， 让 其 变 得 更 为 敏捷 ， 但 大 多 企业 认为 这 非常 具有 挑战 性 ， 尤 其 是 在 劳动 力 紧张 的 
市 场 。 


推动 各 业务 部 门 协调 与 参与 


很 多 网 络 安全 决策 都 会 产生 深远 的 市 场 及 战略 影响 ， 因 此 需要 高 级 业务 经 理 的 参与 。 此 外 ， 企 业 采 取 的 很 多 可 以 保护 信息 资 
产 的 手段 都 需要 网 络 安全 或 IT 部 门 以 外 的 广泛 参与 。 因 此 ， 成 功 有 赖 于 高 级 业务 管理 者 的 支持 。 但 是 ， 要 得 到 他 们 适度 参与 并 不 
简单 一 一 语言 会 星 涩 难 懂 、 与 高 层 管理 者 互动 的 能 力 往 往 是 缺乏 的 ， 也 几乎 没有 什么 工具 可 量化 网 络 安全 风险 及 其 减缓 措施 。 


鉴于 业务 需要 ， 企 业 要 接受 一 些 风 险 


网 络 安全 遍及 各 个 方面 ， 涉 及 每 一 个 商业 流程 及 职能 部 门 ， 但 是 就 在 商业 流程 依赖 于 有 价值 的 信息 的 同时 ， 网 络 安全 也 创造 
出 攻击 者 可 以 利用 的 漏洞 。 例 如 ， 产 品 开发 决定 往往 可 增加 敏感 客户 数据 收集 、 采 购 决 定 可 产生 新 供应 商 ， 后 者 或 许 示 给予 敏感 
知识 产权 以 所 需 的 谨慎 对 待 。 


在 风险 与 竞争 需要 之 间 ， 企 业 需 要 做 出 精细 的 权衡 。 正 如 一 家 投资 银行 的 CISO 所 说 : “如 果 我 在 与 一 家 对 冲 基 金 取 得 直接 
联系 以 前 ， 如 我 所 想 做 了 全 面 的 安全 评估 ， 我 们 的 大 宗 经 纪 业 务 就 不 复 人 存在 了 。 


在 实施 网 络 安全 项 目 时 ， 企 业 必 须 思考 以 下 问题 : 


.对 在 线 门户 实施 更 为 严格 的 密码 控制 会 不 会 让 客户 获取 变 慢 ? 

-内 联网 络 (in-line network) 控制 是 否 将 增加 延迟 并 显著 恶化 客户 体验 ? 
.对 于 用 于 产品 开发 过 程 的 自主 知识 产权 ， 我 们 想 要 设置 多 么 严格 的 访问 限制? 
为 了 降低 内 部 威胁 相关 的 风险 ， 我 们 对 员工 行为 监视 的 入 侵 性 如 何 ? 

面 对 发 展 新 业务 功能 ， 对 不 安全 应 用 程序 的 修复 将 如 何 得 到 先 权 ? 
数据 何 时 可 被 清 掉 ， 何 时 因 潜在 的 分 析 价值 而 被 保留 ? 


-日 益 增长 的 供应 商 安全 需求 ， 将 对 关键 服务 的 合格 投标 商 的 减少 、 谈 判 能 力 的 损害 、 采 购 成 本 增加 有 多 少 影响 ? 
网 络 安全 之 外 的 部 门 也 需要 广泛 地 采取 措施 


要 想 实 现 数字 化 适应 力 ， 企 业 所 需 具备 的 大 部 分 关键 工具 超越 了 网 络 安 全 团队 的 范围 。 我 们 已 经 看 到 运营 部 门 必须 采用 新 的 
业务 流程 ， 市 场 营销 和 企业 通信 团队 要 在 出 现 攻击 时 准备 好 ， 应 用 开发 团队 要 采用 安全 编码 技术 并 修复 不 安全 的 应 用 程序 ， 类 似 
的 例子 还 有 很 多 。 总 之 ， 所 有 这 些 措施 需要 每 个 业务 部 门 采 用 新 的 工作 方式 和 新 的 思维 方式 ， 很 多 改变 需要 大 量 的 一 次 性 项 目 能 
力 。 


刺激 一 线 管理 者 行动 起 来 会 较为 困难 ， 他 们 往往 对 无 穷尽 的 企业 法 案 感到 无 所 适 从 : 《 萨 班 斯 -奥克斯 利 法 案 》《 反 洗钱 法 
案 》、 六 西格玛 、 企 业 重组 、 成 本 项 目 ， 不胜 枚 举 。 为 了 克服 这 些 ， 包 括 CEO 在 内 的 管理 团队 最 为 资深 成 员 必 须要 积极 地 支持 
CISO 及 CIO， 只 有 他 们 才能 就 网 络 安全 相关 风险 的 整体 偏好 水 平 做 出 决策 ， 只 有 他 们 才能 决定 信息 资产 的 优先 级 、 在 降低 风险 
与 运营 影响 之 间 做 出 权衡 ， 只 有 他 们 才能 在 一 线 员 工 承担 的 所 有 其 他 业务 优先 事物 前 优先 修复 措施 。 


业务 部 门 参与 水 平 要 想 得 当 并 非 容 易 


网 络 安全 隐 涩 难 懂 的 性 质 让 资深 管理 团队 有 效 参与 变 得 不 易 达成 。 高 层 管理 团队 已 经 开始 认为 IT 经 理 像 个 祭司 ， 嘴 里 说 着 不 
可 理喻 的 术语 ， 形 容 着 难 解 的 事情 ， 如 软件 开发 生命 周期 、 敏 捷 式 开发 、 数 据 架构 、 云 计算 等 。 网 络 安 全 就 更 令 人 费解 了 。 即 便 
是 那些 认为 自己 对 一 些 概念 (应 用 程序 、 数 据 中 心 、 网 络 、 桌 面 设 备 ) 有 良好 理解 的 高 层 管理 者 ， 在 碰 到 访问 控制 、 对 抗 内 部 威 
胁 的 机 器 学 习 、 入 侵 检测 等 的 讨论 时 ， 也 会 举 手 认 输 。 


量化 网 络 安全 风险 中 存在 的 局 限 性 ， 使 得 让 高 层 管理 者 的 参与 变 得 更 难 。 缺 乏 有 意义 的 指标 供 他 们 用 来 评估 生产 力 、 质 量 或 
其 他 领域 的 风险 ， 会 让 他 们 感到 受挫 。 一 家 银行 的 首席 风险 官 (CRO) 可 以 告诉 管理 团队 其 他 人 ， 银 行 的 资本 充足 率 为 7.5%， 
而 同行 的 资本 充足 率 在 7.7%~7.8%， 同 时 ， 监 管 者 要 求 这 个 数字 达到 8%1。 一 家 采矿 业 公司 的 CRO 告 诉 董事 会 ， 企 业 平 均 每 1 万 
全 时 工作 量 ， 会 发 生 两 次 事故 ， 投 资 几 百 万 美元 的 话 会 降低 至 1.8。 


CISO 手 边 没有 这 些 数据 ， 对 于 网 络 安全 来 说 ， 没 有 一 个 像 风险 价值 这 样 的 指标 ， 因 此 ， 这 让 与 资深 管理 者 沟通 风险 的 整体 
级 别 、 参 与 决策 变 得 更 难 。 由 于 风险 有 太 多 不 同类 型 ， 因 此 网 络 安全 不 可 能 有 精确 的 量化 方法 。 诸 如 网 络 诈骗 、 监 管 蜀 款 、 法 律 
风险 等 都 与 短期 内 的 财务 影响 直接 相关 ， 而 其 他 则 不 然 ， 如 名 誉 影响 或 I1P 丢 失 。 如 果 一 家 国外 竞争 对 于 偷 到 了 一 份 新 制造 流程 的 
计划 ， 那 该 公司 如 何 量化 一 个 依赖 于 该 新 流程 的 产品 的 价值 ， 更 不 要 说 该 竞争 对 手 利用 盗 来 信息 的 范围 和 程度 。 简 单 来 说 ,企业 
无 法 自信 、 确 切 地 对 这 些 问题 给 出 答案 。 


鉴于 缺乏 历史 数据 ， 定 量 风险 的 可 能 性 和 修复 的 影响 就 更 具有 挑战 性 ， 尤 其 是 针对 任何 一 家 企业 机 构 来 说 都 是 罕见 发 生 的 重 
大 攻击 事件 。 企 业 CIO 及 CISO 无 法 确信 地 说 : “目前 ， 在 未 来 两 年 里 发 生 重大 攻击 事件 的 可 能 性 是 22%， 如 果 明 年 多 在 此 上 投 
资 1 亿美 元 ， 可 能 性 会 降 至 15%。 


在 一 家 主要 金融 机 构 里 ， 其 CISO 被 要 求 提出 三 个 网 络 安全 度量 指标 添加 到 高 层 管理 者 的 计 分 卡 里 。 鉴 于 计 分 卡 的 设计 标 
准 ， 这 位 CISO 考 虑 的 所 有 选择 都 被 认为 要 么 相关 性 不 够 (比如 攻击 的 速度 ) ， 要 么 太 狭 隘 (比如 欺诈 损失 ) ， 要 么 太 主 观 ( 比 
如 定性 风险 评估 ) 。 诚 如 另外 一 家 机 构 的 CFO 所 说 : “给 人 感觉 就 是 ， 我 们 不 断 地 在 安全 性 上 花费 更 多 资金 ， 但 是 我 都 不 知道 
那些 钱 是 否 足够 ， 或 者 那些 钱 都 做 了 什么 。 


鉴于 充满 着 这 些 挑战 ， 不 足 为 奇 的 是 ， 高 级 管理 层 与 网 络 安全 部 门 之 间 的 参与 水 平 有 着 很 大 不 同 。 我 们 了 解 到 ， 一 些 企业 的 
CISO 会 与 CEO 每 隔 几 周 会 晤 一 次 ， 而 一 些 企业 的 CISO 向 CTO 汇 报 (CTO 再 向 CIO 汇 报 ，CIO 向 CFO 汇 报 ) 而 从 来 不 与 CEO 会 
晤 。 即 便 是 在 最 高 层 领导 认识 到 问题 严重 性 的 企业 里 ，CIO 及 CISO 仍 会 听 到 这 样 的 请 求 : “告诉 我 网 络 攻击 不 会 发 生 在 这 里 就 
行 了 。” 


利用 适应 力 项 目 来 推动 业务 部 门 参与 


要 让 业务 部 门 更 为 紧密 地 与 网 络 安全 部 门 协作 、 有 更 强 的 参与 度 面临 着 诸多 挑战 ， 因 此 ， 企 业 必须 明确 地 设计 适应 力 项 目 来 
解决 这 一 关键 问题 。 


要 设计 项 目 ， 通 常 从 评 佑 进展 情况 开始 ， 然 后 培养 对 信息 资产 及 业务 风险 的 看 法 。 紧 接着 ， 这 将 有 助 于 高 级 业务 领导 了 解 什 
么 处 于 风险 、 为 何 重 要 。 围 绕 业 务 主题 而 非 技 术 主题 来 确定 志向 ， 可 促进 对 所 需 改变 的 理解 和 投入 。 提 供 务 实 的 方案 ， 显 示 出 不 
同 的 风险 与 资源 影响 ， 这 样 ， 将 发 掘 高 级 管理 层 隐 含 的 风险 偏好 ， 并 确保 项 目 整体 与 之 匹配 。 将 模块 构建 入 项 目 计划 来 衔接 差别 
保护 中 每 个 业务 线 ， 将 有 助 于 确保 ， 业 务 管理 者 会 负责 对 网 络 安全 风险 做 出 决策 。 最 后 ， 高 级 管理 者 在 多 个 网 络 安全 决策 上 处 于 
重要 地 位 的 治理 结构 ， 将 进一步 强调 这 些 问题 属于 所 有 业务 部 门 ， 而 非 大 祭司 IT。 


着 眼 IT 组 织 


从 许多 方面 来 说 ， 企 业 IT 管 理 就 是 风险 管理 的 一 种 形式 。 每 一 天 ， 应 用 程序 开发 与 基础 设施 经 理 要 做 出 风险 管理 决策 。 经 理 
们 是 应 该 同意 在 3 个 月 内 完成 一 项 开发 项 目 ， 还 是 确实 需要 4 个 月 来 将 这 个 项 目 做 好 ? 他 们 要 为 多 少 测试 脚本 、 测 试 周期 制订 计 
划 ? 要 利用 传统 的 打包 软件 还 是 新 的 公共 云 服务 ? 新 的 软件 补丁 投入 生产 的 速度 要 多 快 ? 是 应 该 今年 更 新 过 时 的 基础 设施 还 是 等 
到 明年 ? 这 样 的 问题 无 穷尽 ， 而 答案 对 决定 企业 的 风险 沿 口 又 是 至 关 重 要 的 。 


企业 IT 部 门 很 少 被 设置 为 用 来 系统 地 解决 适应 力 问题 。 多 年 来 ， 高 级 管理 人 员 都 注重 削减 预算 及 快速 交付 战术 能 力 ， 而 非 创 
建 可 持续 、 适 应 性 强 的 架构 。 很 多 时 候 ， 年 度 IT 预 算 流程 推动 人 力 资源 进行 一 年 内 的 短期 努力 。 部 分 受 这 种 短期 努力 的 影响 (并 
且 部 分 原因 在 于 他 们 对 自己 的 网 络 安全 能 力 缺 乏 自信 ) ， 很 多 IT 管 理 者 认为 他 们 能 把 对 安全 影响 的 担忧 外 包 给 CISO 及 其 团队 。 
结果 ， 最 后 企业 的 应 用 程序 及 基础 设施 平台 不 仅 效率 低 、 灵 活性 差 ， 也 会 本 质 上 就 不 安全 。 


一 个 旨 在 达成 数字 化 适应 力 的 项 目 不 能 解决 IT 中 的 所 有 问题 ， 但 在 更 广泛 的 上 T 组 织 中 鼓励 改变 来 说 ， 这 种 项 目 可 成 为 强大 动 
力 ， 它 可 以 提供 一 份 诚实 可 信 的 分 析 ， 可 显示 出 应 用 程序 及 基础 设施 环境 中 的 不 足 之 处 (如 过 时 的 业务 应 用 程序 、 不 再 有 供应 商 
支持 的 基础 设施 软件 、 补 本 不足 、 不 灵活 的 网 络 环境 ) 如 何 创造 了 安全 漏洞 ， 还 可 以 和 其 他 技术 改进 项 目 同步 ， 以 帮助 做 出 改 
变 ， 确 保 新 的 架构 从 建造 起 就 一 直 确 保安 全 ， 并 鼓励 创建 优先 级 列表 来 快速 解决 最 为 重要 的 风险 。 这 样 的 项 目 还 可 以 促进 运营 模 
式 变化 ， 从 IT 高 管 解决 所 管理 的 平台 中 的 漏洞 来 讲 ， 运 营 模 式 变化 可 提高 IT 高 管 的 主人 兮 精神。 


升级 网 络 安全 技能 


要 达成 数字 化 适应 力 ， 需 要 网 络 安全 部 门 的 人 员 在 技术 和 能 力 上 有 显著 提高 。 下 面 7 个 适应 力 方法 工具 将 延伸 网 络 安全 组 织 
的 技能 与 人 才 培 养 模式 : 


(1) 基于 业务 风险 对 信息 资产 区 分 优先 级 。 需 要 这 样 的 业务 分 析 师 : 一 方面 可 以 联系 起 商业 策略 、 价 值 链 及 操作 流程 ， 另 
一 方面 又 能 联系 起 网 络 安全 风险 及 防御 机 制 。 


(2) 对 最 重要 的 资产 予以 差别 保护 。 需 要 这 样 的 安全 架构 师 : 对 高 度 分 散 及 动态 的 技术 供应 商情 况 ， 能 随时 了 解 最 新 的 动 
态 ， 相 应 技术 如 I&AM、DLP、 反 恶意 程序 等 。 


(3) 让 网 络 安全 融入 整个 企业 的 风险 管理 及 治理 流程 。 这 需要 资深 管理 者 能 与 一 系列 业务 职能 部 门 有 效 地 协作 。 


(4) 让 一 线 员 工 加 入 到 保护 他 们 所 使 用 的 信息 资产 的 队伍 。 需 要 少数 这 样 的 通信 专家 : 他 们 能 将 网 络 安 全 风险 转化 成 让 人 
言 服 的 信息 ， 这 将 改变 目标 用 户 群 体 的 思维 方式 及 行为 。 


(5) 将 网 络 安全 融入 技术 环境 。 需 要 这 样 的 应 用 与 基础 设施 构架 师 : 在 安全 应 用 程序 开发 、 云 安全 、 桌 面 虚 拟 化 、 移 动 安 


全 及 软件 定义 网 络 上 具备 丰富 的 专业 知识 。 


(6) 部 署 积极 主动 的 防御 措施 来 对 抗 攻击 者 。 需 要 这 样 的 安全 情报 及 数据 分 析 师 : 可 在 外 部 来 源 及 企业 自己 的 IT 环境 数据 
的 基础 上 ， 积蓄 见解 、 识 别 模式 .。 


(7) 不 断 测试 以 提高 各 业务 职能 部 门 的 应 急 响 应 能 力 。 在 模拟 作战 开发 及 IR 策 划 上 需要 有 的 放 矢 及 专业 的 知识 。 


如 今 ， 几 乎 没有 哪 家 企业 的 网 络 安全 团队 具备 所 有 这 些 技能 ， 更 不 要 说 能 具备 足够 量 的 能 力 来 推动 数字 化 适应 力 。 此 外 ， 网 
络 安 全 人 才 市 场 供 不 应 求 ， 意 味 着 企业 不 能 仅 从 外 部 雇用 人 力 。 于 是 ， 企 业 必须 让 明确 的 能 力 升 级 成 为 企业 项 目的 一 部 分 ， 部 分 
要 针对 外 部 招聘 ， 并 且 ， 为 了 腾 出 现 有 的 生产 能 力 以 便 承 担 更 多 增值 任务 ， 很 多 企业 将 外 包 一 些 执行 活动 ， 例 如 安全 监控 。 而 成 
功 改进 的 重要 方式 是 让 团队 成 员 亲 自 做 事 ， 了 解 如 何 运作 网 络 安全 模拟 作战 的 最 好 方法 就 是 亲自 运作 一 场 网 络 安全 模拟 作战 ,或 
许 一 开始 是 在 较 小 的 业务 部 门 进行 简单 的 模拟 作战 ， 之 后 快速 提高 模拟 作战 的 规模 及 复杂 度 。 同 样 ， 了 解 如 何 进行 积极 主动 地 防 
御 的 最 好 方法 就 是 开始 收集 数据 、 进 行 分 析 、 跟 踪 攻 击 者 。 


推出 数字 化 适应 力 项 目的 信步 又 


高 级 业务 经 理 参与 进来 了 、|IT 部 门 理解 了 数字 化 适应 力 的 意义 、 网 络 安全 团队 迫切 要 放手 一 捕 ， 但是， 从 基本 的 网 络 安全 思 
维 方式 改 为 全 组 织 数 字 化 适应 力 ， 这 之 中 存在 着 固有 的 挑战 性 ， 意 味 着 企业 机 构 要 采取 经 过 仔细 其 酌 的 稳健 的 措施 。 


要 推出 有 效 的 项 目 ， 企 业 首 先 需要 制定 议程 ， 这 就 意味 着 要 全 面 了 解 项 目 、 确 定 目标 、 决 定 网 络 安 全 部 门 该 如 何 操 作 。 然 
后 ， 企 业 需 要 推出 项 目 计 划 ， 要 顾及 主要 的 风险 与 资源 权衡 ， 并 确保 路 线 图 与 业务 需要 及 要 交付 的 技术 都 匹配 。 最 后 ， 企 业 可 开 
始 执行 ， 要 跟踪 进度 ， 并 且 ， 就 网 络 安全 问题 ， 跨 业务 部 门 之 间 要 有 可 持续 的 参与 ( 见 表 8-1) 。 


表 8-1 设计 和 推出 数字 化 适应 力 项 目的 六 步骤 


主要 成 果 
区 分 信息 风险 及 业务 风险 优先 级 
现 有 能 力 的 综 合 性 基线 


与 相关 的 最 佳 实践 作 比 较 
识别 在 解决 业务 风险 中 的 问题 与 缺口 


确定 进取 有 抱负 但 特定 的 未 来 网 络 安 全 能 力 的 战略 主题 
目标 状态 要 达成 每 个 战略 主题 所 需 的 具体 措施 


决定 如 何 发 展 网 络 安全 交 未 来 网 络 安 全 组 织 结 构 、 操 作 流 程 、 人 才 结 
付 系统 构 、 绩 效 管 理 系统 及 采购 安排 


为 资深 领导 层 提供 一 系列 风险 与 资源 之 间 权 
衡 的 主要 方案 
对 选择 方案 的 业务 标准 


为 所 有 所 需 的 举措 发 布 章程 

对 重大 事件 、 依 赖 性 、 资 源 及 关键 的 成 功 因 
素 的 详细 实施 计划 

跟踪 进展 、 提 出 问题 、 做 出 所 需 决 策 及 消除 
障碍 的 机 制 

来 自 管理 团队 的 消息 及 其 他 强化 机 制 ， 确 保 
跨 业 务 部 门 的 管理 者 在 保护 重要 信息 资产 上 尽 
职 尽责 页 


制定 议程 揭露 所 有 问题 


为 资深 管理 层 阐 述 风 险 并 


创建 路 线 医 
创建 路 线 图 权衡 资源 


制订 一 份 与 业务 和 技术 都 
匹配 的 计划 


确保 业务 部 门 在 网 络 安全 


局 双 执 行 | 问题 上 的 持续 参与 


揭露 所 有 问题 


若 不 知道 起 点 在 哪里 ， 你 也 无 从 理解 本 来 要 去 哪里 。 若 起 步 阶 段 出 错 了 ， 那 么 最 终 得 到 的 网 络 安 全 项 目 会 太 狭隘 、 不 足够 进 
取 、 缺 乏 管理 层 支 持 。 要 想得到 通 向 数字 化 适应 力 所 需 的 现实 情况 ， 企 业 需要 从 信息 资产 及 业务 风险 入 手 ， 了 解 不 同类 型 控制 之 
间 的 关系 ， 综 合 考虑 能 力 。 


从 信息 资产 入 手 


存在 一 种 自然 的 倾向 ， 即 用 基准 问题 衡量 网 络 安 全 ， 毕 竟 ， 数 字 让 人 心里 感到 安全 一 些 。 然 而 ， 即 便 是 同一 行业 的 不 同 企 
业 ， 基 于 它们 所 拥有 的 数据 、 所 在 国家 、 公 共 形 象 、 所 追求 的 业务 与 技术 战略 等 ， 也 会 有 不 同 的 风险 情况 。 


若 不 了 解 企业 所 需要 保护 的 资产 是 什么 ， 无 法 对 网 络 安全 部 门 的 操作 效果 有 个 智慧 的 认识 。 例 如 ， 对 一 家 带 包装 消费 品 的 中 
这 产品 公司 非常 有 意义 的 网 络 安 全 部 门 ， 对 一 家 大 型 银行 来 说 肯定 是 不 够 的 。 


和 


没 能 从 信息 资产 及 业务 风险 入 手 ， 会 导致 此 后 做 出 错误 的 选择 。 一 家 金融 机 构 从 评估 监管 要 求 入 手 制定 网 络 安全 项 目 ， 两 年 
后 , 该 机 构 花 了 大 笔 钱 ， 也 取得 了 一 些 技术 进步 ， 但 是 它们 将 所 有 精力 都 放 在 保护 客户 个 人 信息 上 ， 而 没有 考虑 其 他 类 型 的 重要 
信息 资产 。 


在 本 书 的 前 面部 分 ,我 们 展示 了 识别 和 区 分 信息 资产 优先 级 的 原则 和 方法 ， 这 些 应 该 是 任何 网 络 安全 项 目 设立 之 初 应 得 到 应 
用 的 。 依 据 企业 机 构 的 规模 及 复杂 程度 ， 可 能 有 必要 的 是 ， 分 阶段 区 分 信息 资产 及 业务 风险 优先 级 ， 从 跨 所 有 业务 部 门 的 综合 优 
先 级 开始 ， 接 着 在 每 个 部 门 轮流 进行 细致 的 评价 。 


综合 评估 风险 


攻击 者 无 须 战胜 一 家 机 构 的 |&AM 或 入 侵 检测 环境 ， 但 他 要 战胜 一 个 防御 系统 ， 这 个 系统 包括 很 多 不 同类 型 的 控制 ， 如 果 这 
些 防 御 措施 互 锁 ， 就 能 让 攻击 者 面临 更 加 困难 的 局 面 。 


不 幸 的 是 ， 很 多 评估 是 结构 化 的 ， 这 样 每 个 因素 就 可 单独 打分 : 入 侵 检 测 、1&AM、 数 据 保护 、 应 急 响 应 等 ， 但 是 无 从 评估 
这 些 控制 措施 是 如 何 联合 起 来 保护 重要 信息 资产 的 。 举 例 来 说 ， 相 比 之 下 ， 评 估 密 码 控制 、 加 密 、 用 户 培训 及 DLP 结合 在 一 起 保 
护 高 净值 客户 的 金融 交易 数据 的 有 效 程度 ， 自 然而 然 地 ， 可 让 决策 者 知道 如 何 对 尤为 重要 的 信息 资产 采取 正确 的 差别 保护 措施 。 

处 理 所 有 能 

我 们 经 常 听 到 CISO 说 : “我 想 做 一 次 安全 控制 评估 。” 很 快 ， 评 佑 围绕 一 套 战 术 问 题 展开 : 入 侵 检 测 或 防 恶 意 软件 环境 怎 
么 样 ? 但 却 不 包括 战略 一 致 性 、 风 险 管理 流程 、 安 全 架构 及 整个 交付 系统 ， 这 样 的 评估 结果 只 会 在 网 络 安全 内 部 实现 变化 ， 然 而 
所 需要 的 改变 却 是 在 更 为 广泛 的 商业 流程 之 中 。 

在 增进 企业 机 构 对 评估 网 络 安全 的 认识 上 ， 如 ISO 270012、 美 国 国家 科学 与 技术 学 院 的 “提高 关键 基础 设施 网 络 安全 框 
架 ”5 等 现成 的 认证 评估 及 指南 极 具 价 值 ， 但 是 即便 这 些 也 是 有 范围 的 局 限 性 。 举 例 来 说 ， 这 些 认证 评估 及 指南 对 产品 安全 及 很 
多 其 他 类 型 的 第 三 方 风险 的 重视 不 够 。 实 际 上 ， 几 乎 所 有 这 样 的 框架 都 注重 的 是 技术 相关 的 风险 ， 牺 牲 的 是 业务 流程 改变 ， 如 清 
除 不 再 需要 的 敏感 信息 、 为 较 高 风险 的 交易 创建 安全 流程 、 为 与 企业 用 更 为 安全 的 方式 接洽 的 顾客 设立 奖励 机 制 等 ， 这 些 都 会 带 
来 巨大 益处 。 


有 效 的 网 络 安全 能 力 评估 必须 能 可 信 可 靠 地 回答 下 面 的 问题 : 


"战略 性 。 网 络 安 全 整体 方向 是 否 符合 数字 化 适应 力 的 原则 ? 对 于 区 分 信息 资产 优先 级 、 在 所 有 业务 流程 推动 网 络 安全 方面 的 考虑 、 让 一 线 
户 参与 、 所 有 职能 部 门 应 对 攻击 、 将 安全 性 构建 进 更 为 广泛 的 IT 构架 中 去 、 实 施 积 极 主动 的 防御 措施 等 方面 ， 是 否 实施 了 相应 的 机 制 ? 


治理 。 企 业 机 构 是 否 掌握 所 需 的 事实 情况 及 流程 ， 来 对 网 络 安全 策略 做 出 明智 的 风险 管理 决策 ? 企业 是 否 理解 其 资产 、 攻 击 者 及 漏洞 ? 企业 
是 否 能 客观 地 优先 考虑 风险 、 评 估 潜 在 的 防御 机 制 ? 


控制 。 在 各 种 潜在 控制 措施 (比如 I&AM、DLP、 加 密 、 应 用 程序 安全 、 网 络 安全 、 基 础 设施 安全 ) 中 ， 精 密 程 度 及 能 力 水 平 如 何 ? 
安全 架构 。 技 术 平 台 对 网 络 安全 控制 全 面 、 一 致 、 集 成 、 模 块 化 的 支持 程度 及 快速 结合 发 展 新 工具 及 供应 商 服务 的 能 力 如 何 ? 


人 效 方式 运作 并 继续 提升 能 力 上 的 进展 程度 
[ 何 ? 


很 多 企业 没有 完全 找到 以 上 问题 答案 ， 哪 怕 是 在 它们 已 经 推出 网 络 安全 项 目 时 。 结 果 就 是 ， 它 们 不 了 解 需要 实施 的 系统 性 变 
化 。 


确定 进取 有 抱负 但 特定 的 目标 状态 


企业 制定 网 络 安全 项 目的 方向 有 干 百 种 : 企业 可 以 注重 不 同 的 资产 、 可 确定 不 同 的 政策 、 实 施 不 同 的 技术 、 培 养 不 同 的 技 
能 。 因 而 ， 企 业 该 如 何 决 定 其 目标 ， 这 个 目标 既 大 胆 又 特定 于 企业 的 业务 情况 ， 还 要 与 大 学 围 的 措施 保持 一 致 ， 要 足够 有 抱负 ， 
重要 的 是 便于 解释 以 获得 跨 部 门 支持 。 


答案 就 是 要 将 数字 化 适应 力 方法 与 商业 风险 联系 起 来 ， 利 用 业务 流程 改变 及 技术 控制 ， 将 改变 融入 沟通 意向 及 鼓励 支持 的 重 
大 主题 。 
将 数字 化 适应 力 方法 与 商业 风险 联系 起 来 


本 书 已 展示 一 些 对 推动 企业 实现 适应 力 至 关 重 要 的 方法 。 思 考 如 何 利用 每 个 方法 来 解决 高 优先 级 业务 风险 ， 将 使 注意 力 集中 
于 目标 状态 中 所 需 的 能 力 。 


设想 一 下 ， 一 家 银行 的 评估 优先 考虑 员工 带 来 的 风险 ， 不 管 是 内 部 员工 还 是 供应 商 员 工 ， 其 行为 危及 客户 信息 的 机 密 性 ， 而 
这 些 信 息 是 用 来 给 企业 客户 承保 贷款 的 ， 在 管理 这 一 风险 中 ， 每 个 数字 化 适应 力 方法 都 会 有 其 作用 。 


基于 业务 风险 区 分 信息 资产 优先 级 。 业 务 经 理 要 决定 一 i 钦 风险 尤 高 的 标准 是 什么 ， 比 如 ， 这 笔 贷款 是 否 与 备 受 关注 的 收购 兼 } 
(M&A) 活动 有 关 或 者 这 笔 贷款 用 途 是 否 为 有 争议 的 业务 项 


:为 最 为 重要 的 资产 提供 差别 保护 。 利 用 DLP 控 制 来 登录 (一 些 情况 下 是 阻碍 〉 电 子 邮 箱 并 打印 与 交易 相关 的 高 度 敏感 的 文档 ， 利 用 数字 版 权 
管理 (DRM) 控制 来 防止 未 授权 用 户 访问 。 


又 
.将 网 络 安全 融入 整个 企业 的 风险 管理 与 治理 流程 。 就 供应 商 提供 的 员工 如 何 处 理 敏 感 交 易 相关 文档 的 要 求 进行 协商 ， 并 写 入 与 供应 商 的 合同 


中 
o 


| re A be 为 承保 专 具有 针对 性 的 培训 ， 让 他 们 了 解 自己 所 接触 的 数据 的 价值 、 若 落 入 坏人 之 
了 全 党 灯 的 时 向 、 处 理 敏感 数据 的 标准 流程 ， 并 且 ， 鼓 励 人 们 在 发 现 有 违反 流程 行为 时 进行 举报 。 


将 网 络 安全 融入 技术 环境 中 去 。 创 造 完 善 的 文档 管理 能 力 ， 这 样 ， 承 保 专 业 人 员 就 无 须 使 用 电子 邮件 保存 和 传输 敏感 贷款 文件 了 。 
交 


-部 署 积极 主动 的 防御 措施 来 对 抗 攻击 者 。 构 建 起 识别 潜在 风险 的 分 析 方 法 ， 例 如 ， 最 近 绩效 考核 较 差 的 一 名 员工 访问 了 大 量 与 其 目前 从 事项 
无 美的 文件 ， 导 致 多 个 DLP 预警， 这 可 能 表示 因 不 当 使 用 敏感 广 档 而 产生 的 风险 在 升 高 。 


不断 地 测试 以 提升 所 有 业务 部 门 的 应 急 响应 能 力 。 为 在 发 生 攻 击 时 与 客户 通信 、 与 执法 机 关 协 作 制 定 协议 。 


后 
vp 
局 
薄 
< 


通过 查看 每 个 优先 级 业务 风险 的 每 个 方法 ， 网 络 安全 管理 者 可 思考 两 个 重要 问题 : @ 所 采取 的 措施 总 体 是 否 足以 解决 风险 ; 
@ 鉴 于 风险 的 本 质 ， 是 否 有 可 以 移 除 的 重复 措施 ? 


尤其 是 ， 鉴 于 很 多 公司 注重 外 部 攻击 者 的 历史 ，CISO 们 需要 确保 适应 力 项 目 完全 解决 内 部 威胁 。 
利用 业务 流程 改变 及 技术 控制 


为 了 确定 潜在 的 更 广泛 的 措施 ， 网 络 安全 管理 人 员 将 数字 化 适应 力 方法 应 用 于 每 个 最 重要 的 业务 风险 ， 而 一 旦 这 样 做 了 ， 他 
们 就 必须 确保 已 考虑 了 恰当 的 控制 组 合 。 


保护 信息 资产 的 机 制 分 为 以 下 三 类 : 


(1) 业务 流程 控制 。 这 些 是 终端 用 户 行为 及 IT 部 门 之 外 的 业务 流程 的 改变 ， 包 括 清除 数据 、 促 进 培训 、 创 建 敏感 资产 的 安 
全 路 径 、 改 变 客户 行为 的 项 目 、 供 应 商 政策 、M&A/ 合 资 企业 的 安全 流程 、 模 拟 作 战 、 企 业 产品 的 安全 结构 。 


(2) 更 广泛 的 IT 控制 。 这 是 对 更 广泛 IT 架构 、 运 行 模式 的 改变 ， 并 包括 安全 的 公共 和 私有 云 服 务 、 安 全 编码 、 安 全 应 用 架 
构 、 安 全 技术 设施 操作 及 安全 移动 /终端 用 户 设备 。 


(3) 网 络 安全 控制 。 这 些 是 注重 保护 信息 的 技术 能 力 与 流程 ， 包 括 加 密 、1&AM、 威 胁 管理 、 边 界 安 全 、 安 全 分 析 法 及 安 
全 运 


二 


要 想 达 成 数字 化 适应 力 ， 需 要 将 所 有 三 种 类 型 控制 配合 使 用 ， 然 而 ， 鉴 于 传统 的 思维 方式 ， 很 多 项 目 对 专门 或 严重 依靠 网 络 
安全 控制 有 着 一 种 强烈 的 倾向 ， 这 样 会 让 网 络 安 全 项 目的 花费 更 为 昂贵 、 比 所 需要 的 更 具 侵 入 性 。 随 新 的 网 络 安全 控制 而 来 的 是 
实行 新 的 技术 系统 的 时 间 和 成 本 ， 而 诸如 清除 数据 或 为 敏感 数据 创建 安全 路 径 等 业务 流程 控制 ， 实 施 起 来 可 以 更 快 、 成 本 更 低 。 
新 的 网 络 安全 控制 会 为 企业 的 技术 构架 增添 复杂 性 ， 而 诸如 私有 云 服务 、 软 件 定义 网 络 等 更 广泛 的 |T 控 制 能 同时 提升 安全 性 和 敏 
捷 性 。 


将 所 需 的 改变 综合 到 主题 


将 所 有 数字 化 适应 力 方法 应 用 于 所 有 优先 级 业务 风险 ， 不 可 避免 地 会 生成 潜在 措施 列表 ， 而 这 个 列表 会 很 长 ， 其 中 还 会 有 很 
， 对 任何 企业 机 构 来 说 都 太 复杂 而 无 法 同心 协力 。 企 业 会 发 现 ， 当 它们 将 所 需 的 改进 综合 到 一 份 短 的 重大 主题 列表 时 ， 它 
们 更 能 轻而易举 地 得 到 组 织 支 持 、 更 快 取得 进展 。 


要 形成 这 样 的 重大 主题 ， 网 络 安全 管理 者 需要 合并 类 似 的 措施 或 重复 措施 ， 接 着 ， 通 过 给 余下 的 措施 打分 的 方式 区 分 优先 
级 ， 打 分 可 依据 这 些 方面 : 这 些 措施 解决 多 少 优先 级 业务 风险 、 相 比 目 前 状态 ， 这 些 措施 需要 多 少 改变 。 一 旦 管理 者 剔除 了 那些 


措施 一 一 鉴于 实施 的 复杂 性 ， 所 能 降低 的 风险 太 少 ， 他 们 就 能 将 余下 的 措施 综合 到 更 广泛 的 主题 中 去 。 


一 家 医疗 服务 提供 商 开 发 了 9 个 战略 主题 (非常 典型 的 数量 ) ， 每 个 主题 包括 具体 的 计划 和 措施 ， 其 中 包括 : 


从 患者 到 医生 ， 贯 穿 医院 ， 相 关 时 还 包括 支持 性 供应 商 ， 保 护 整个 业务 系统 的 个 人 健康 
仔细 检查 内 部 人 士 活动 ， 不 管 是 意外 的 还 是 有 意 的 ， 都 要 和 外 部 活动 同等 对 待 。 
通过 合理 化 应 用 程序 和 系统 ， 最 小 化 企业 "表面 面积 ”。 

检测 和 响应 网 络 事件 ， 以 便 将 给 业务 带 来 的 损害 及 对 提供 服务 产生 的 破坏 最 小 化 。 


QI 


息 
忆 。 


这 些 主题 让 管理 者 能 够 向 资深 管理 层 描述 、 让 员工 围绕 一 个 改变 项 目 而 共同 努力 ， 最 终 跟踪 进展 。 
决定 如 何 发 展 网 络 安全 交付 系统 


要 实现 数字 化 适应 力 必 定 将 给 网 络 安全 部 门 带 来 压力 。 由 于 一 个 控制 功能 将 变 得 越 来 越 不 足够 ， 一 般 会 实施 操作 流程 、 采 购 
安排 、 人 物 模型 、 组 织 结构 来 操作 安全 性 。 网 络 安 全 管理 者 要 特别 注意 三 个 问题 : 简化 操作 流程 、 匹 配 所 需 的 组 织 结构 ， 升 级 技 
能 和 人 力 资源 。 


简化 操作 流程 


从 更 新 账户 访问 权 到 评估 供应 商 安全 性 能 ， 再 到 检查 应 用 程序 安全 结构 ， 网 络 安全 包括 一 系列 操作 流程 。 以 往 ， 业 务 及 IT 部 
门 管理 者 认为 流程 缓慢 烦琐 ， 阻 碍 企业 机 构 里 其 他 部 门 快速 完成 任务 。 数 字 化 适应 力 的 很 多 方面 将 对 这 些 流程 产生 额外 压力 。 例 
如 ， 当 一 家 公司 开始 为 其 最 为 重要 的 信息 资产 实施 不 同 保护 的 时 候 ， 该 公司 需要 能 够 在 密码 及 访问 权 上 实施 更 细 粒 度 
(granular) 的 政策 。 那 样 会 让 现 有 流程 变 得 无 效 、 降 低 业务 敏捷 度 ， 让 业务 管理 者 感到 泪 丧 ，IT 管 理 者 则 更 为 甚 之 。 


网 络 安全 团队 会 发 现 ， 采 用 精益 (lean) 的 IT 机 制 来 让 安全 流程 摆脱 多 余 的 程序 是 非常 有 益 的 4。 一 家 保险 公司 利用 复杂 度 
请 求 分 段 、 消 除 返 工 、 在 并 行 的 核心 安全 流程 运行 活动 ， 使 得 生产 力 及 响应 时 间 都 有 30% 的 改善 。 


匹配 所 需 的 组 织 结构 


不 久 前 ，IT 安 全 性 还 只 是 很 多 企业 机 构 上 T 基 础 设施 部 门 的 一 个 技术 领域 。 就 当 上 IT 基础 设施 负责 人 下 面 有 数据 中 心经 理 、 网 络 
经 理 、 桌 面 领域 经 理 时 ， 他 也 有 一 位 IT 安全 经 理 负责 远程 访问 、 防 病毒 及 防火 墙 等 技术 。 


不 过 ， 这 已 有 了 很 大 改变 。 大 部 分 ， 但 不 是 所 有 的 企业 开始 任命 CISO， 扩 大 了 网 络 安全 部 门 的 范围 。 然 而 ， 这 些 改 变 的 新 
颖 性 意味 着 ， 在 网 络 安 全 组 织 模型 中 仍 有 很 多 变 体 一 一 经 常 是 分 裂 的 ， 这 些 能 让 一 个 数字 化 适应 力 项 目的 效力 最 小 化 。 当 实施 
这 样 的 项 目 时 ， 企 业 需 要 整合 网 络 安 全 资源 、 为 CISO 确 定 正 确 的 汇报 对 象 及 角色 ， 创 建 能 促进 与 业务 部 门 就 安全 策略 进行 互动 
的 结构 。 


网 络 安全 是 一 个 在 技术 上 先进 而 精密 的 领域 ， 很 大 程度 上 依赖 于 工具 ， 企 业 要 跨 业务 部 门 的 利用 好 专业 知识 和 工具 ， 而 不 是 
把 各 部 门 割裂 开 。 不 过 ,一 些 公司 仍 在 每 一 个 业务 部 门 实施 了 大 量 网 络 安全 行动 。 一 家 银行 友 现 ， 在 各 个 部 门 的 网 络 安全 人 员 与 
中 央 安 全 部 门 的 人 员 数 量 相当 ， 重 芍 部 分 导致 15% 的 人 员 元 余 。 主 流 企业 已 开始 整合 网 络 安 全 策略 、 构 架 、 技 术 管 理 、 操 作 及 
I&AM 和 供应 商 治理 ， 同 时 ， 继 续 保留 很 小 一 部 分 分 散 开 来 的 员工 以 执行 特定 于 业务 的 活动 ， 例 如 项 目 治理 。 这 种 设置 在 性 能 与 
效率 上 都 产生 了 益处 。 


相对 来 讲 ， 决 定 整合 这 些 是 很 简单 明确 的 ， 但 是 为 CISO 的 团队 选择 正确 的 角色 及 汇报 对 象 则 要 复杂 得 多 ， 对 此 ， 有 四 种 相 
当 普遍 的 模型 : 


(1) 传统 模式 。CISO 负 责 网 络 安全 的 各 个 方面 并 向 基础 设施 负责 人 汇报 。 


(2) 主流 模式 。CISO 负 责 网 络 安全 的 各 个 方面 并 直接 向 CIO 汇 报 。 


(3) IT 风险 模式 。1T 风 险 负 责 人 负责 网 络 安全 的 各 个 方面 以 及 其 他 IT 风险 问题 (如 灾难 修复 、 质 量 、IT 合 规 性 ) ， 并 直接 
向 CIO 汇 报 ， 可 能 会 间接 向 CRO 汇 报 。 


(4) 战略 模式 。CISO 负 责 战略 、 政 策 及 治理 并 向 CRO 汇 报 ， 网 络 安 全 运营 方面 事宜 一 般 由 基础 设施 负责 人 来 负责 。 


严肃 认真 对 待 网 络 安全 的 企业 中 ， 越 来 越 少 有 企业 采取 CISO 向 基础 设施 负责 人 汇报 的 传统 模式 了 ， 这 种 结构 没有 为 安全 团 
队 提 供 推动 适应 力 所 需 的 资历 与 天 注 度 。 该 结构 强调 企业 视 网 络 安全 为 一 项 “技术 ”而 非 “ 业 务 ” 问 题 ， 这 样 很 难 招聘 到 高 素质 
的 网 络 安全 人 才 。 


大 多 数 企业 采用 的 是 主流 模式 的 某 种 变 体 ，CISO 向 CIO 汇报 ， 有 时 间接 向 CRO 汇 报 。 这 种 结构 给 予 CISO 更 多 关注 度 与 资 
历 ， 在 不 同 IT 风 险 领 域 开 发 一 种 通用 方法 或 把 网 络 安全 团队 分 离 成 战略 和 操作 组 成 部 分 ， 这 不 具有 复杂 性 。 对 于 在 网 络 安全 成 熟 
度 上 还 落后 很 远 、 需 要 加 快速 度 的 企业 来 说 ， 这 种 模式 会 很 合适 。 


IT 风险 和 战略 模式 都 需要 额外 的 组 织 成 熟 度 。 要 想 让 IT 风 险 模 式 充 分 发 挥 效用 ， 需 要 为 管理 网 络 安全 、 供 应 商 风险 、 灾 难 修 
复 及 合 规 性 风险 开发 通用 方法 。 明 显 地 ， 这 给 CISO 赋 予 了 极 大 的 权力 ， 人 允许 他 们 查看 多 个 领域 的 问题 ， 但 是 ， 成 功 有 赖 于 每 个 
IT 风险 领域 具备 一 定 程度 的 成 熟 度 。 


同样 ， 战 略 模型 也 很 强 有 力 ， 它 可 以 确保 短期 操作 需求 不 会 排挤 风险 优先 次 序 、 策 略 开 发 及 治理 。CISO (或 者 IT 风险 负责 
人 ) 直接 向 CRO 汇 报 也 强调 了 网 络 安全 是 如 同 其 他 风险 一 样 的 业务 风险 。 然 而 ， 这 种 模型 也 需要 将 网 络 安 全 操作 方面 事宜 从 战 
略 中 移 除 ， 坚 定 地 保持 这 些 属于 IT 范畴 中 一 一 没有 哪 位 CIO 能 让 来 自 有 风险 的 或 者 说 任何 来 自 部 门 之 外 的 人 直接 接触 !T 操 作 。 


一 家 重要 的 医疗 保健 企业 认为 ， 设 立 战略 型 的 CISO 能 够 促进 企业 注重 保护 患者 数据 的 机 密 性 与 完整 性 ， 该 企业 已 经 为 达成 
基本 水 平 的 网 络 安全 成 熟 度 投 入 了 多 年 ， 对 分 解 网 络 安全 部 门 感觉 不 错 ， 有 更 多 的 技术 和 操作 活动 保留 在 基础 设施 部 门 。 理 所 当 
然 地 ，CISO 及 地 位 较 高 的 IT 团队 投资 于 实时 制定 出 新 的 网 络 安全 小 组 与 IT 部 门 之 间 的 联系 ， 以 便 确 保 新 的 小 组 开发 的 策略 与 政 
策 持 续 有 相关 性 。 


升级 技能 和 人 力 资源 


如 前 所 述 ， 要 达成 数字 化 适应 力 需要 掌握 新 型 技能 。 网 络 安全 劳力 市 场 紧俏 ， 因 此 ， 提 升 部 门 的 技能 及 人 力 资源 或 许 既 是 最 
具 挑战 性 的 一 项 ， 也 是 数字 化 适应 力 项 目 最 为 重要 的 一 个 方面 。 主 流 企业 利用 四 种 方法 来 升级 其 网 络 安全 团队 的 性 能 能 力 。 


第 一 ， 鉴 于 每 个 员工 的 离开 就 意味 着 ClSO 要 再 招聘 一 个 人 来 项 缺 ， 企 业 会 不 屈 不 挠 地 注重 人 才 保 留 。 尤 其 是 当 高 效率 的 职 
员 有 很 多 选择 时 ， 基 本 的 管理 上 的 健康 (managerial hygiene) 很 重要 ， 此 外 ， 一 些 企业 非常 注重 媒体 曝光 、 职 业 道 路 及 团体 
参与 ， 这 些 企业 故意 为 表现 好 的 员工 创造 与 资深 业务 领导 、 有 时 是 董事 会 互动 的 机 会 ， 为 安全 专业 人 员 创造 清晰 的 职业 道路 ， 有 
时 包括 在 应 用 程序 开发 、 基 础 设施 、 业 务 部 门 等 职能 部 门 轮 岗 的 机 会 。 企 业 还 为 高 效率 的 员工 提供 时 间 和 空间 ， 让 他 们 去 参加 注 
重 网 络 安全 的 行业 与 技术 论坛 。 


第 二 ,企业 从 非 传统 人 才 库 获取 人 力 。 企 业 不 仅 从 军事 及 情报 界 来 招聘 相对 较为 年 轻 的 专业 人 士 来 专门 从 事 安全 情报 及 数据 
分 析 ， 企 业 也 会 从 其 他 IT 部 门 、 有 时 也 会 从 业务 部 门 挖 走 强大 的 问题 解决 者 。 企 业 意识 到 要 有 长 远 的 眼光 ， 因 此 他 们 与 高 等 院 校 
(有 时 还 会 包括 高 中 ) 建立 联系 ， 为 企业 所 经 营 的 领域 搭建 起 技术 型 人 才 的 输送 管道 。 


三 ， 通 过 尽 可 能 的 自动 化 ， 企 业 将 用 于 低 价 值 活动 的 精力 最 小 化 。 如 我 们 在 主动 防御 措施 章节 所 看 到 的 ， 企 业 正 与 安全 管 
理 服 务 提 供 商 建立 约定 安排 ， 后 者 可 执行 诸如 安全 监控 或 基本 优先 分 配 等 操作 活动 ， 这 样 ， 就 可 以 让 企业 内 部 员工 更 能 注重 增值 
任务 。 


第 四 ， 也 是 最 重要 的 ， 主 流 网 络 安全 机 构 通过 实践 来 培养 能 力 。 在 模拟 作战 中 构建 能 力 的 最 好 方法 就 是 实施 模拟 作战 。 理 解 
如 何 区 分 信息 资产 优先 级 的 最 好 方法 就 是 选择 一 个 业务 部 门 、 与 其 领导 层 合作 评估 那些 信息 资产 及 业务 风险 。 在 相对 滞后 的 网 络 
安全 部 门 中 ， 某 一 能 力 的 缺失 也 就 阻碍 着 对 这 一 能 力 的 培养 。 主 流 企业 的 网 络 安全 部 门 应 积极 推动 ， 促 进 自身 在 业务 部 门 参与 、 
安全 构架 、 模 拟 作战 、 主 动 防御 等 领域 的 能 力 培养 。 


为 资深 管理 层 前 述 风险 并 权衡 资源 


网 络 安全 部 门 的 每 个 人 都 认同 风险 偏好 是 重要 的 ， 但 是 ， 基 于 企业 所 在 领域 、 文 化 及 整体 业务 策略 ， 不 同 企业 对 风险 的 承受 
度 也 是 不 同 的 。 一 份 数 字 化 适应 力 项 目 必 须 交 付 符合 这 一 风险 偏好 的 整体 风险 水 平 。 


如 我 们 此 前 已 经 提 及 的 ， 所 面临 的 挑战 是 没有 一 个 简单 的 指标 可 以 量化 网 络 安全 风险 。 这 意味 着 ，CIO 及 CISO 们 要 给 管理 
者 们 提供 三 四 个 务实 的 选择 ， 这 些 选 择 要 代表 不 同 的 风险 降低 (risk reduction) 及 资源 投入 水 平 ， 以 此 来 估量 他 们 的 风险 偏 
好 ， 而 不 是 试图 制定 一 些 高 度 抽象 (从 而 基本 上 没有 意义 ) 的 风险 偏好 陈述 。 


例如 ， 一 家 北美 银行 的 网 络 安全 团队 制定 了 一 个 宏伟 的 目标 ， 按 此 目标 该 银行 要 经 历 巨大 的 变化 。 该 团队 称 ， 一 些 所 需 的 措 
施 是 实现 负责 任 做 法 最 低 标准 所 必 不 可 少 的 ， 其 他 很 多 措施 是 同行 的 标准 做 法 ， 也 可 为 最 重要 的 信息 资产 提供 额外 保护 ， 最 后 一 
套 措施 更 为 前 沿 一 些 ， 对 付 技术 更 为 先进 的 攻击 者 。 


基于 此 ， 该 团队 构建 了 保护 和 资源 投入 水 平 逐步 升级 的 三 种 方案 : @@ 最 低 标准 ; @ 保 护 优 先 级 资产 ; @ 抵 御 技 术 先进 的 攻击 
者 。 更 为 重要 的 是 ， 网 络 安全 团队 还 大 致 估算 出 每 个 方法 的 花费 ， 还 描述 出 每 个 方案 会 为 企业 防范 哪些 类 型 的 业务 风险 ( 见 表 8- 
2) 。 


表 8-2 风险 降低 /资源 投入 权衡 方案 


达到 最 低 标准 保护 重要 信息 资产 | 抵御 技术 先进 的 攻击 者 


主要 议题 及 相关 措施 
创建 向 业务 部 门 看 
避 潜 业务 部 站 全 | ， 实 施 跟踪 进展 、 性 | 齐 的 网 络 安全 联系 点 bee pe 
一 :| 能 及 未 来 设计 的 指标 为 关键 用 户 群体 创 标 和 宗 世 中。 
造 有 针对 性 的 培训 RE 
为 信息 及 资产 设立 
0 扩大 对 静态 加 密 的 
资产 进行 分 类 ”” | 使 用 ， 检 查 合同 中 的 | 将 敏感 的 非 结构 化 数 
实施 “符合 目的 ” 0 待 办 事项 ， 找 出 安全 | 据 移 至 文档 管理 系统 ， 
的 控制 模型 需求 与 解决 的 缺口 “| 让 DLP 适用 范围 扩 及 
模型 ， 对 优先 级 系统 | 。 在 结构 化 数据 中 运 | 非 结构 化 数据 
实施 多 因素 身份 验证 | 用 DTP 
让 新 的 供应 商 合同 
符合 新 的 安全 需求 
en 对 每 一 名 开发 人 员 进 | ”加 快 向 私有 云 的 转移 
提高 应 用 程序 与 dvs 行 安全 编码 实践 培训 | 与 虚拟 桌面 的 应 用 
基础 设施 安全 性 。 | 团队 协作 为 特权 访问 实施 一 | ”为 网 络 分 段 以 减少 横 
有 次 性 密码 向 移动 
创建 将 情报 连接 到 | ”扩大 和 推进 独立 技 |  ， ，、， 、 
| 操作 的 SOC 术 安 全 评估 以 验证 安 | 。 关 二 次 度 包 检测 展开 
创建 增强 型 SOC、 : 各 意 软 件 检测 与 触发 
提升 应 急 响应 能 力 | ， 旬 中 下 计划 、 建 | 全 状况 实施 先进 的 服务 器 与 
| - 立 起 与 其 他 危机 管理 | ”进行 持续 的 网 络 安 | pgs) 析 
计划 的 联系 全 模拟 作战 A 
通过 场景 解决 选 定 的 风险 
重大 的 分 布 式 拒 
绝 服务 攻击 会 干扰 V V V 
支付 系统 
内 部 人 士 会 无 意 
内 部 人 士 离职 到 
竞争 对 手 供职 时 可 V 
从 事 承 保 实 践 
技术 先进 的 攻击 
者 可 腐化 金融 交易 


虽然 ， 这 个 工作 有 些 耗 时 ， 但 是 能 为 资深 管理 者 展示 这 样 一 系列 容易 理解 的 方案 的 益处 无 可 估量 。 这 
论 议题 包括 额外 的 资本 投资 数量 、 运 营 成 本 、 


能 促进 积极 的 讨论 ， 讨 
企业 所 能 承受 的 管理 层 对 网 络 安全 项 目的 关注 程度 、 能 有 多 少 风 险 降低 。 


毫 不 令 人 惊讶 的 是 ， 该 银行 的 资深 管理 层 认 为 其 有 责任 超越 最 低 限 度 的 基本 实践 ， 然 而 ， 由 于 他 们 不 具备 最 大 型 银行 那样 的 
公众 形象 及 全 球 业务 网 ， 该 银行 也 决定 ， 鉴 于 他 们 面临 财务 约束 挑战 ， 针 对 最 为 先进 攻击 者 、 要 提供 前 沿 保护 所 需 的 投资 对 他 们 
来 说 没有 意义 。 因 此 ， 该 银行 选 定 中 间 方 案 ， 确 保 给 其 最 为 重要 的 信息 资产 以 差别 保护 。 


制订 一 份 与 业务 和 技术 都 匹配 的 计划 


企业 一 旦 评估 了 现 有 的 网 络 安全 性 能 、 确 定 了 想 要 得 到 风险 偏好 、 与 组 织 模型 匹配 了 ， 他 们 就 需要 制订 一 份 确保 所 有 必要 改 
变 的 计划 。 要 想 制 订 和 推出 一 份 有 效 的 计划 ， 企 业 必须 不 仅 采 用 传统 项 目 管理 严谨 性 ， 也 要 基于 业务 风险 为 计划 定 序 ， 将 计划 与 
更 广泛 的 IT 改变 项 目 结合 ， 创 建 自 上 而 下 的 项 目 监督 。 


采用 传统 项 目 管理 严谨 性 


对 任何 重要 商业 技术 项 目的 成 功 至 天 重要 的 实践 活动 ， 对 于 网 络 安 全 计划 来 说 ， 也 同等 重要 。 企 业 必 须 任命 单一 一 位 对 整体 
计划 负责 任 的 领导 ， 这 种 情况 下 一 般 是 CISO。 企 业 必须 用 具体 可 行 的 方案 来 确定 工作 流 ， 每 个 方案 都 要 有 一 位 经 理 负责 并 在 方 
案 上 下 真 功 夫 ， 每 个 方案 还 要 有 一 份 章程 ， 显 示 出 预期 效果 。 另 外 ， 每 个 方案 还 要 有 一 份 工作 规划 ， 清 楚 表达 出 重大 事件 、 依 赖 
关系 及 资源 需求 。 这 些 方案 必须 要 综合 到 整体 路 线 图 中 去 ， 整 体 路 线 图 提供 对 资源 需求 及 各 方案 相互 依赖 性 的 深刻 理解 。 


基于 业务 风险 为 计划 定 序 


传统 意义 上 讲 ， 网 络 安全 计划 要 依据 需要 执行 或 升级 的 不 同类 型 的 控制 措施 ， 然 而 ， 要 想 真 正 将 网 络 安全 融入 业务 流程 及 策 
略 ， 一 份 完整 的 数字 化 适应 力 计划 要 包含 由 业务 及 技术 控制 调整 一 致 的 方案 。 举 例 来 说 ， 一 家 保险 公司 本 来 围绕 监管 需求 设计 其 
网 络 安全 项 目 ， 并 制订 计划 以 实施 一 系列 技术 控制 ， 结 果 ， 该 项 目 没有 注重 最 重要 的 信息 资产 ， 没 能 在 单个 业务 部 门 推动 改变 ， 
大 多 资深 管理 者 几乎 不 知道 该 项 目 都 做 了 什么 。 


保险 公司 投入 时 间 仔 细 思 考 其 最 重要 的 信息 资产 及 业务 风险 后 ， 它 们 要 重新 设计 计划 并 重新 定 序 。 除 了 实施 新 的 技术 能 
该 公司 还 设计 了 这 样 的 方案 : 在 18 个 月 的 投资 组 合 中 涉及 每 个 业务 部 门 ， 以 评估 它们 的 信息 资产 ， 确 定 可 保护 关键 信息 的 业务 
流程 变化 、 实 施 差 别 控制 。 该 公司 按照 风险 影响 的 顺序 解决 这 些 措 施 。 第 一 阶段 对 拥有 最 重要 信息 资产 的 业务 部 门 应 用 最 高 影响 
控制 措施 ， 第 二 阶段 对 业务 一 期 应 用 二 线 控制 措施 、 对 业务 二 期 实施 一 线 控制 。 即 便 是 面临 着 一 些 约束 ， 妨 碍 这 家 保险 公司 试图 
同时 做 全 部 事情 ， 但 是 通过 这 种 方式 ， 该 公司 既 可 以 确保 单个 业务 层级 有 真正 的 改变 ， 又 加 速 降低 风险 的 影响 ( 见 图 8-1) 。 


最 低 
时 业务 最 有 有 可 能 出 的 
吕 能 由: 
拭 “业务 11-15 威胁 扩大 保护 
国 “6 阶段 二 : 针对 下 一 级 ”阶段 三 ， 通过 减少 攻 
问 “ 业务 7 业务 最 有 可 能 出 现 的 ” 击 面 、 对 漏洞 进行 系 
六 .业务 8 区 | | 威胁 扩大 保护 统 检查 、 培 训 对 攻击 
< . 业务 9 兴 的 响应 ， 来 扩大 对 下 
.yi0 一 优先 级 业务 的 保护 
“业务 1 全 | 阶段 一 : 针对 最 有 可 ”阶段 二 : 通过 减少 攻 ”阶段 三 ， 通 过 合并 巴 
. 业务 2 能 出 现 的 内 部 与 外 部 。 击 面 、 检 查 漏洞 系统 、 防 性 防御 措施 来 扩大 
入 .业务 3 威胁 ， 保 护 最 高 优先 “培训 对 攻击 的 响应 ， 对 业务 资产 的 保护 
国 .5 级 业务 来 扩大 对 最 高 优先 级 
业务 5 业务 的 保护 


重要 性 最 高 


重要 性 最 低 


控制 措施 


7X 优 先 级 1 控制 6X 优 先 级 2 控制 4X 优 先 级 3 控制 


图 8-1 分 阶段 部 署 计划 以 最 先 保 护 最 关键 的 领域 


将 网 络 安全 项 目 融 入 一 系列 广泛 的 IT 项 目 


如 在 第 5 章 中 所 述 ， 诸 如 私有 云 、 桌 面 虚拟 化 、 软 件 定 义 网 络 及 增强 型 应 用 程序 开发 等 很 多 潜在 的 IT 进步 有 助 于 减少 漏洞 、 
提升 企业 整体 安全 状况 。 


这 些 方案 无 一 将 继续 存在 于 网 络 安 全 路 线 图 上 ， 不 过 ， 项 目 领 导 层 要 投入 时 间 与 这 些 技术 项 目 领导 一 起 以 了 解 现 有 计划 、 影 
响 他 们 以 最 大 化 安全 影响 ， 并 且 ， 确 保 他 们 与 更 广泛 的 网 络 安全 项 目 协调 一 致 。 有 时 ， 或 许 有 机 会 让 这 些 项 目 促 进 降低 风险 ， 比 
如 通过 优先 考虑 运行 在 过 时 需要 修补 的 基础 设施 上 、 带 有 敏感 信息 的 应 用 程序 ， 这 样 ， 这 些 程序 便 可 转移 至 私有 云 环境 。 


创建 自 上 而 下 的 项 目 监 上 


一 家 庞大 机 构 的 任何 网 络 安全 项 目 都 包括 几 百 单个 颗粒 设计 (granular design) 及 实施 决策 ， 其 中 会 涉及 很 多 问题 ， 比 如 
DLP 工具 应 阻止 员工 向 外 部 接收 者 发 送 什么 类 型 的 数据 、 什 么 类 型 的 文档 必须 控制 在 文档 管理 系统 内 、 哪 些 用 户 必 须 转移 至 虚拟 
桌面 环境 ? 


给 这 些 问 题 找到 正确 的 答案 可 减少 漏洞 、 保 护 重 要 数据 、 改 善 企业 的 风险 头寸 (risk position) 。 不 过 ， 这 些 也 会 影响 员工 
及 客户 利用 技术 的 体验 ， 这 意味 着 ， 更 多 分 析 、 更 多 利益 相关 者 的 协商 要 求 ， 消 耗 了 大 量 额 外 精力 。 对 项 目 进行 高 级 的 、 跨 职能 
部 门 的 监督 ， 从 而 减少 不 同 部 门 间 的 分 上 层 ， 这 将 加 速决 策 、 加 强 整 体 的 网 络 安全 项 目 。 


一 家 医疗 保健 服务 公司 估计 ， 通 过 放 缓 实施 及 要 求 利用 比 最 优 要 差 些 的 解决 方案 ， 采 取 共 识 导向 型 方法 来 实施 网 络 安全 变化 
会 让 整个 网 络 安全 项 目 多 耗费 几 亿美 元 。 为 了 克服 这 一 点 ， 企 业 需 要 建立 高 中 级 管理 人 员 指导 委 员 会 并 赋予 其 加 速决 策 的 授权 ， 
该 委员 会 由 CIO、CISO、CFO 及 一 些 业 务 部 门 管理 者 组 成 。 这 个 委员 会 为 决策 创建 了 快速 程序 ， 这 会 产生 较 大 的 业务 或 安全 性 
影响 ， 不 过 这 所 需 的 投资 不 到 1000 万 美元 。 因 此 ， 当 关于 是 否 限 制 通过 外 部 电子 邮箱 发 送 病例 、 加 强 员工 密码 控制 的 决策 得 到 


快速 做 出 时 ， 有 关 是 否 以 及 如 何 实施 网 络 访问 控制 的 决策 并 没有 快速 做 出 ， 原 因 在 于 ， 后 者 明显 拥有 更 多 的 投资 预算 ， 因 此 需要 
用 更 为 传统 的 决策 流程 来 解决 ( 见 表 8-3) 。 


表 8-3 与 影响 和 成 本 匹配 的 决策 流程 


传统 决策 流程 快速 决策 方法 
所 有 决策 类 型 的 决策 周期 为 6 一 8 赂 
重要 的 准备 工作 ， 包括 详细 数据 收集 、 分 
级 及 商业 案例 展示 

决策 需要 多 个 管理 层 接 触 点 

公式 导 问 型 方法 包括 主要 利益 相关 者 及 其 
他 非 关 键 实体 

标准 流程 ， 不 因 决 策 影响 及 成 本 而 改变 


有 两 周 的 快速 决策 周期 ， 尤 其 针对 有 网 络 
安全 项 目 影 响 的 决策 

聚焦 精益 但 是 有 足够 数据 来 做 出 明智 决策 
的 商业 案例 

决策 需要 及 效果 在 一 场 会 议 上 决定 

由 负责 任 的 利益 相关 者 推动 的 决策 


对 于 每 一 个 快速 做 出 的 决策 ， 相 关 管 理 者 花 了 两 周 时 间 拟 定 一 个 简单 的 商业 案例 ， 展 示 出 现状 、 所 提出 的 改变 、 根 本 原因 及 
高 级 影响 。 这 样 ， 指 导 委 员 会 就 更 容易 做 出 以 事实 为 基础 的 最 后 决定 。 在 前 面 的 示例 中 ， 该 委员 会 同意 制定 政策 规定 个 人 健康 信 
息 不 得 通过 外 部 电子 邮箱 传输 、DLP 应 用 于 阻止 大 量 的 个 人 病例 通过 外 部 电邮 离开 公司 、 向 协作 工具 投资 让 与 外 部 团队 分 享 健康 
记录 变 得 更 容易 ， 外 部 团体 包括 专家 医师 团体 、 诊 断 实验 室 等 。 


确保 业务 部 门 在 网 络 安 全 问题 上 的 持续 参与 
网 络 安全 是 一 个 高 风险 话题 ， 因 此 ， 它 是 CEO 级 别 领导 的 话题 。 鉴 于 网 络 安全 触及 所 有 部 门 ， 且 决策 具有 挑战 性 ， 只 有 让 
CEO 及 管理 团队 其 他 资深 成 员 采 取 主 动 措 施 ， 通 向 数字 化 适应 力 之 路 才能 有 进展 。 


基于 我 们 所 做 的 调研 ， 在 管理 网 络 安全 风险 上 ， 资 深 管理 层 的 时 间 投 入 和 关注 是 成 熟 的 唯一 的 最 大 推动 力 ， 这 比 企业 规模 、 
企业 所 在 领域 甚至 是 预算 多 少 都 重要 。 不 过 ， 资 深 领导 层 往往 没 能 给 网 路 安全 足够 关注， 一 些 CISO 确 实 频繁 访问 资深 领导 ， 但 
是 ， 在 我 们 所 了 解 的 企业 中 有 2/3 的 企业 CISO 完 全 没有 定期 与 CEO 互 动 。 

推出 (或 再 次 推出 ) 网 络 安全 项 目 是 一 个 完美 的 机 会 ， 资 深 管理 层 可 以 制定 和 澄清 其 预期 : 每 个 成 员 将 如 何 帮助 确保 企业 能 
保护 其 重要 信息 资产 ， 每 个 人 都 有 重要 角色 ( 见 表 8-4) 。 


表 8-4 澄清 所 有 部 门 的 网 络 安全 角色 及 责任 


任 


下 
中 
喘 


对 企业 风险 偏好 设 定 总 体 预期 
CEO 在 资深 管理 团队 中 强化 行为 改变 (例如 如 何 处 理 敏感 的 商业 资料 ) 
确保 适当 的 资金 投入 


在 权衡 制定 信息 资产 优先 级 、 数 据 保护 与 运营 影响 上 投入 精力 
业务 部 门 运营 将 网 络 安全 考虑 融入 产品 、 客 户 及 区 位 决策 
主管 就 一 线 员 工行 为 改变 的 需要 进行 沟通 
在 执行 重要 政策 上 支持 安全 团队 


让 网 络 安全 策略 与 企业 政策 同步 (如 HR 及 采购 ) 
将 网 络 安全 综合 到 质量 / 合 规 性 项 目 
将 网 络 安全 融入 监管 及 公共 事务 议程 
确保 企业 风险 管理 方法 适应 网 络 安全 风险 的 特性 
CRO 将 优先 的 网 络 安 全 风险 融入 企业 风险 报告 

在 一 些 时 候 ， 为 网 络 安全 部 门 提供 监督 和 管理 


支持 部 门 主管 
(如 财务 、HR 等 ) 


确保 网 络 安 全 项 目 支 持 企 业 的 风险 偏好 ， 确 保 商 业 策 略 适当 并 按照 计 
划 进 行 

在 整体 IT 部 门 推动 所 需 的 改变 

与 董事 会 进行 有 效 的 对 话 


CIO 


这 无 疑 是 领导 团队 的 额外 工作 ， 将 需要 一 系列 相辅相成 的 措施 。 他 们 需要 为 高 层 管理 团队 提供 企业 或 各 部 门 所 面临 风险 的 可 
信和 具体 的 信息 ， 还 要 提供 企业 要 保护 的 重要 信息 资产 所 需 采 取 的 具体 措施 相关 的 有 高 度 针对 性 的 信息 。CEO 及 首席 运营 官 要 
付出 时 间 和 精力 关注 保护 企业 信息 资产 ， 彰 显 出 这 其 中 的 重要 性 ， 企 业 应 让 高 优先 级 网 络 安全 目标 (如 主要 项 目 重大 事件 ) 成 为 
管理 团队 成 员 目标 和 宗旨 的 一 部 分 。 


实现 数字 化 适应 力 ， 即 企业 拥有 保护 企业 信息 资产 免 遭 不 断 攻击 的 网 络 安全 操作 模型 ， 同 时 仍 能 持续 创新 ， 这 实现 起 来 是 很 
困难 的 。 网 络 安全 触及 每 个 业务 流程 及 部 门 ， 依 赖 于 应 用 程序 及 基础 设施 环境 的 质量 ， 因 此 成 功 取决 于 远 超出 安全 部 门 本 身 的 诸 
多 部 门 都 采取 合适 的 措施 。 综 观 来 说 ， 本 书 描述 的 适应 力 方法 显示 出 企业 部 门 如 何 与 IT 互动 、IT 部 门 如 何 解 决 安全 性 问题 、 网 络 
安全 部 门 自身 如 何 运 作 上 的 根本 变化 。 


很 多 企业 执行 的 网 络 安全 项 目 避 免 了 挑战 ， 而 不 是 应 对 挑战 ， 这 导致 项 目 缺 乏 企业 整体 的 支持 、 痛 兰 的 决策 、 实 施 缓慢 ， 很 
多 时 候 还 会 出 现 资源 不 足 。 为 实现 数字 化 适应 力 而 制定 的 有 效 项 目 ， 必 是 从 设计 之 初 便 与 企业 其 他 部 门 结合 、 调 整 IT 部 门 朝向 适 
应 力 、 创 造 更 为 敏捷 与 反应 积极 的 网 络 安全 部 门 。 


第 9 章 ”创造 有 适应 力 的 数字 化 生态 系统 


为 了 保护 世界 经 济 所 依赖 的 信息 资产 ， 企 业 必 须 制 定 信息 资产 优先 级 ， 实 施 差别 保护 ， 让 网 络 安全 成 为 商业 流程 的 一 部 分 ， 
变 用 户 行为 ， 创 造 有 适应 力 的 技术 平台 ， 实 施 积极 的 防御 措施 ， 了 解 所 有 业务 部 门 如 何 响应 攻击 。 


然而 ， 企 业 运营 所 在 的 数字 化 生态 系统 ， 要 么 可 成 为 数字 适应 力 的 催化 剂 ， 要 么 就 是 障碍 物 。 如 果 技 术 供应 商 开 发 产品 以 促 
进 安全 性 ， 企 业 就 更 容易 开发 出 有 适应 力 的 技术 平台 ， 如 果 行 业 协会 可 以 集合 与 传播 威胁 情报 ， 企 业 就 更 容易 转 被 动 为 主动 防御 
措施 。 


实施 数字 化 适应 力 所 需 的 实践 ， 对 公司 个 体 来 说 是 很 具 挑战 性 的 ， 鉴 于 所 涉及 的 广泛 角色 ， 构 建 这 样 一 个 支持 性 的 生态 系 
统 ， 至 少 是 很 复杂 的 。 此 外 ， 网 络 安全 是 个 全 球 性 问题 ， 因 此 ， 在 世界 各 个 角落 里 的 角色 会 持 不 同 的 观点 ， 比 如 就 如 何在 安全 与 
隐私 之 间 做 权衡 ， 人 们 的 看 法 不 一 。 所 有 这 些 都 意味 着 ， 相 比 对 于 公司 个 体 应 如 何 保护 自己 的 共识 ， 就 如 何 开发 更 广泛 数字 化 生 
态 系统 的 具体 细节 的 看 法 ， 人 们 的 共识 要 远 少 些 。 


即便 面临 着 如 此 之 多 的 复杂 性 ， 仍 有 潜在 的 路 径 可 行 及 在 公共 政策 、 团 体 活动 及 整个 系统 的 结构 等 领域 有 具体 探讨 。 公 共 、 
私营 、 学 术 多 边 及 非 政 府 机 构 之 间 持续 协作 ， 将 尤为 重要 。 


数字 化 生态 系统 


每 个 企业 都 要 保护 自身 ， 但 都 是 在 更 广泛 的 数字 化 生态 系统 的 背景 下 ， 这 个 环境 塑造 了 风险 、 约 束 及 方案 选项 。 对 于 被 发 现 
和 被 起 诉 ， 攻 击 者 可 能 有 更 多 或 更 少 的 担心 ;对 产品 如 何 影响 客户 保护 自身 的 能 力 ， 供 应 商 可 能 有 更 多 或 更 少 的 关注 ; 对 于 网 络 
安全 方面 的 毕业 生 ， 教 育 机 构 可 能 培养 得 更 多 或 是 更 少 ; 在 分 享 最 佳 实践 和 情报 方面 ， 同 行 可 能 更 为 开放 或 者 不 是 很 开放 。 


数字 化 生态 系统 意味 着 ， 促 成 对 健全 信息 资产 的 信心 进而 推动 消费 者 与 企业 对 数字 化 经 济 有 信心 的 全 套 角色 以 及 各 角色 间 互 
动 或 协作 的 途径 。 


-会 有 很 多 类 型 的 供应 商 处 理 敏感 数据 ， 影 响 着 整体 风险 水 平 ， 其 中 ， 有 两 种 供应 商 尤 为 重要 。 技 术 供 应 商 对 整体 数字 化 生态 系统 起 着 极为 重 
要 的 影响 ， 这 取决 于 他 们 的 产品 和 服务 得 到 安全 应 用 的 程度 。 和 久而久之， 保险 公司 能 帮助 企业 以 更 可 预测 和 透明 的 方式 管理 网 路 安全 风险 。 
.公共 部 门 逐渐 在 网 络 安全 上 起 到 明显 而 积极 的 作用 ， 但 是 ， 比 起 单一 企业 ，* 政 府 ”“ 远 非 完全 统一 。 即 便 是 有 单一 的 司法 管辖 权 ， 大 量 不 同 的 
部 门 或 机 杨 也 会 朝 着 多 个 目标 :保护 消费 者 隐私 、 起 诉 犯罪 行为 、 保 护 关键 国有 基础 设施 、 阴 目 间 谍 活动 、 促 进 经 济 发 展 ， 进 而 为 了 达成 这 些 
和 名 部 门 与 机 构 会 和 用 各 种 各 笠 的 工具 ， 其 中 包括 法 规 监管 、 刑 事 立法 收入 情报、 民事 法 律 、 发 放 补 贴 、 发 展 国有 的 能 力 、 与 私有 或 埋 
.学 术 机 构 是 网 络 安全 研究 的 重要 来 源 ， 不 仅仅 体现 在 它们 的 计算 机 科学 部 门 ， 逐 渐 地 ， 商 学 院 、 公 共 政 策 学 院 、 政 治 科学 部 门 以 及 多 学 科研 
究 所 也 彰 灵 出 重要 作用 。 向 样 重要 的 是 ， 学 术 机 构 培养 着 下 一 代 网 络 安全 专业 人 十 。 
标准 制定 机 构 如 互联 网 工程 任务 组 、 云 安全 联盟 ) 能 制定 让 私有 角色 安全 互动 的 协议 ， 还 能 制定 技术 标准 ， 鼓 盛 后 者 消除 产品 和 服务 中 的 


漏洞 。 


.倡议 组 织 〈 如 电子 前 线 基 金 会 ) 力图 影响 私有 企业 及 政府 机 构 如 何 解 六 
的 使 命 和 追求 相关 联 。 


行业 协会 《如 美国 的 信息 共享 与 分 析 中 心 ，ISAC) 为 企业 举办 论坛 ， 共 同 讨论 最 佳 实践 、 协 调 应 对 共同 的 威胁 、 共 享 情报 。 
:多 边 组 织 《〈 如 美洲 国家 组 织 ) 为 不 同 国家 政府 举行 论坛 ， 以 解决 复杂 问题 ， 如 法 定 管辖 权 、 执 法 合作 及 监管 协调 。 


要 问题 ， 他 们 认为 这 些 问 题 与 自己 在 公民 自由 、 隐 私 权 及 人 权 方 面 


人 
中 


这 些 利益 相关 者 以 各 种 各 样 的 方式 联合 起 来 构建 更 有 适应 力 的 生态 系统 。 一 些 最 为 重要 的 协作 方式 将 是 跨行 业 、 公 共 与 私 
营 、 多 国之 间 的 协作 。 跨 行业 协作 ， 可 以 是 对 等 地 位 的 人 之 间 非 正式 的 交流 意见 、 行 业 协 会 形式 的 更 为 结构 化 的 合作 或 是 为 共同 
的 能 力 而 进行 商业 合作 。 公 共 与 私营 之 间 的 协作 中 ， 在 自愿 的 基础 上 ， 政 府 与 企业 分 享 情报 、 技 术 及 最 佳 实践 。 在 多 国之 间 的 协 
作 中 ， 不 同 国家 政府 跨越 边境 线 共同 解决 争论 的 焦点 。 


这 些 只 是 数字 化 生态 系统 中 可 能 的 协作 类 型 中 的 一 部 分 。 例 如 ， 企 业 个 体 或 行业 协会 可 与 学 术 机 构 协 作 ， 以 加 快 和 促进 对 网 
络 安全 专业 人 员 的 培养 。 


有 适应 力 的 数字 化 生态 系统 的 影响 力 


在 本 书 前 面 章 节 里 ,我 们 描述 了 三 个 场景 一 一 网 络 攻 击 风险 影响 数字 化 经 济 的 三 种 方式 。 在 “ 懂 慌 慌 懂 走向 未 来 ”场景 
中 ， 攻 击 者 和 私营 企业 都 逐渐 提高 了 自己 的 能 力 ， 结 果 就 是 ， 网 络 攻击 造成 不 便 ， 不 过 没有 阻止 企业 利用 数字 化 经 济 。 在 “数字 
反弹 ”场景 中 ， 攻 击 者 的 能 力 提高 的 速度 要 比 企业 快 很 多 ， 降 低 了 企业 在 数字 化 经 济 中 的 信心 ， 从 而 降低 了 技术 创新 的 速度 。 
在 “数字 化 适应 力 ”场景 中 ， 企 业 大 幅 提高 自身 网 络 安全 能 力 ， 数 字 化 经 济 快 速 、 稳 健 地 发 展 。 


通过 创造 条 件 支 持 和 鼓励 企业 实现 先进 精密 的 网 络 安 全 能 力 ， 私 营 企 业 、 政 府 机 构 及 非 政府 组 织 之 间 的 协作 可 加 速 和 扩大 数 
字 化 适应 力 场景 的 影响 。 


2020 年 6 月 15 日 


自己 的 工作 ， 伊 丽 莎 白 最 为 喜欢 的 一 个 因素 就 是 其 多 样 性 。 作 为 世界 最 大 型 、 最 知名 石油 和 能 源 公司 之 一 的 CISO， 从 来 没有 哪 两 天 的 工 
完全 一 样 的 。 正 因 如 此 ， 在 她 今天 来 到 办 公 室 前 ， 她 就 意识 到 自己 正 进 入 个 全 新 的 领域 。 
营 了 


两 年 的 管道 控制 与 监控 系统 中 发 现 了 恶意 软件 。 苏 如 兰 的 中 产 阶 层 在 逐渐 扩大 ， 很 快 ， 相 比 
视 为 一 个 发 展 中 经 济 体 ， 这 里 更 多 地 被 视 为 一 个 新 兴 的 经 济 体 。 虽 然 如 此 ， 这 里 仍 遭 受 安 全 问题 困扰 ， 其 企业 机 构 的 实力 相差 悬殊 。 没 有 人 
恶意 软件 做 了 什么 ， 但 它 肯定 在 反馈 回 主机 ， 这 更 加 令 人 人 担忧。 伊丽莎白 公司 的 系统 传感器 跟踪 到 了 有 关 流 的 商业 敏感 信息 更 值得 注 
是 ， 该 系统 的 驱动 元 件 控制 着 多 个 物理 系统 ， 整 个 网 络 安装 了 阀门 ， 若 这 些 落 入 坏人 之 手 ， 不 仅 无 法 阻 流出 ， 还 会 给 物理 基础 设施 
严重 损害 。 一 些 控制 点 穿 过 居民 区 及 更 大 的 加 工厂 ， 这 些 控制 点 因 承 受 太 多 压力 可 能 带 来 的 爆炸 会 造成 更 大 的 损害 ， 有 可 能 涉及 人 员 伤 


丽水 白 的 团队 刚刚 在 苏 如 兰 (surulan〉 运 营 


人 


及 丽 莎 白 仔 细 考 虑 着 下 一 
都 开始 生效 : 恶意 软件 及 月 
自己 已 经 被 检测 到 这 》 


嵌 
FH 


在 该 系统 部 署 以 及 去 年 连 入 企业 TCP/IP 网 络 时 ， 她 曾 带 领 着 团队 实施 风险 策略 。 很 快 ， 所 有 正确 的 流程 
缉 隔离， 备份 服 务 器 及 数据 无 终 衔 接 。 恶 意 软件 正 接受 着 模拟 数据 流 ， 因 此 它 不 会 给 攻击 者 发 出 警报 划 
伊丽莎白 团队 争取 了 时 间 ， 以 便 评 估 情 况 、 与 执法 部 门 合作 、 决 定 下 一 步 的 对 策 。 


一 般 地 ， 这 家 全 球 性 石油 公司 的 攻击 者 为 政治 因素 驱动 的 黑客 的 变种 ， ER 丽水 日 与 所 有 主要 发 这 国家 (其 公司 在 屠 
些 > 些 处 理 恐 怖 主义 问题 的 国家 建立 了 牢固 关系 。 在 匡 丽 莎 白 的 公司 被 视 为 关键 基础 设施 的 一 部 分 ， ， 
对 于 出 现 可 能 是 国家 支持 的 攻击 行为 是 有 相关 协议 的 ， 然 而 ， 此 次 的 情况 中 ， 看 上 去 该 恶意 软件 是 往 苏 如 兰 内 部 一 个 本 地 TP 地 址 传输 数据 ， 
或 许 ， 数 据 会 经 该 IP 传 送 到 其 他 地 方 ， 但 伊丽莎白 的 系统 上 没有 显示 这 样 的 迹象 。 伊 丽 莎 白 知道 ， 她 的 同事 就 物理 基础 设施 安全 已 在 与 苏 如 


兰 警 方 和 军 方 打交道 ， 但 是 她 不 知道 网 络 方面 能 力 如 何 或 是 该 与 谁 联系 。 


到 了 办 公 室 后 ， 伊 丽水 方面 同事 、 多 行业 CTS0 的 非 正式 网 络 一 他 们 一 年 会 会 面 几 次 并 在 网 上 保持 联系 一 发 了 综述 报告 ， 会 有 人 
她 的 公司 同事 说 可 以 把 请 求 转 到 恰当 的 渠道 ， 但 是 警告 说 ， 不 存在 物理 紧急 情况 时 ， 响 应 时 间 会 因 官僚 阻力 而 延长 。 不 


丽 莎 供 职 于 一 家 大 型 零售 商 ， 也 是 为 苏 如 兰 提供 能 力 建设 援助 的 多 方 参与 组 织 的 一 分 子 。 三 年 前 ， 丽 莎 所 在 公 S 司 看 到 来 自 苏 如 兰 的 垃圾 邮件 、 

络 钓鱼 、 敲 (high-volume/low-value) 欺诈 大 量 增加 。 她 曾 参加 一 个 由 国 际 各 地 区 组 织 、 学 术 机 构 、 世 界 各 地 技术 和 非 技 

术 类 公司 组 成 的 组 织 ， 该 组 织 投资 于 发 展 中 及 新 兴 & a 丽 莎 5 强调 道 : 这 是 一 项 投资 ， 0 苏 如 兰 政府 在 看 到 来 自 本 

0 (以 及 其 刑事 司法 体系 无 法 有 效 处 理 ) 开始 对 外 国 直接 投资 生 不 良 影响 后 ， 台 让 网 络 项 目 为 优先 考虑 ， 该 项 目 由 司法 部 长 
BE 


束 在 去 年 习 节 ， 丽 莎 团队 一 些 成 员 还 在 苏 如 兰 为 该 国 司法 部 内 部 新 创建 的 团队 提供 网 络 取证 培训 ， 团 队 其 他 成 员 提 供 了 其 他 服务 :协助 构建 政 
策 框架 、 法 律 条 款 、 一 线 人 员 培 训 、 和 警方 取证 能 力 等 。 


丽 莎 帮 助 伊丽莎白 联系 到 苏 如 兰 司法 部 的 一 位 领导 人 及 警方 任命 的 网 络 犯罪 负责 人 。 丽 莎 与 后 两 者 合作 、 共 享 相关 信息 ， 使 得 当 
得 所 需 搜 查 令 ， 去 搜查 与 恶意 软件 联系 的 TP 地 址 相关 联 的 房产 ， 结 果 发 现 ， 房 产 所 有 者 是 当地 一 名 商人 ， 由 的 服务 器 也 受到 了 
y 的 团队 最 终 能 够 跟踪 到 攻击 的 源头 是 来 自 第 三 国 ， 伊 丽 莎 白 的 团队 对 该 国 早已 很 熟悉 


和 
下 
会 

0 
对 
st 
| 国 


地 执法 机 关 取 
意 软件 的 指 


站 


派 。 当 地 执法 机 与 伊 丽 莎 Tp 
ee de dE a a ee ed 定 目 
标 。 这 就 意味 着 ， 他 们 可 以 识别 出 其 他 还 没有 意识 到 自己 会 成 为 受害 者 的 目标 。 同 时 ， 在 伊丽莎白 企业 内 部 ， 她 利用 这 一 案例 让 公司 为 这 类 国 
了 努力 提供 人 力 和 资源 该 企业 在 各 个 发 展 阶段 的 国家 都 有 业务 ， 于 是 董事 会 很 快 明白 ， 继续 投资 于 各 国 的 法 治 和 网 络 能 力 发 展 是 个 双赢 局 
面 。 于 是 ， 伊 丽 莎 白 的 公司 经 常会 为 多 方 参与 组 织 的 努力 而 投资 ， 并且， 其 日 益 先进 起 来 的 合作 伙伴 网 络 在 逐渐 庞大 ， 因 而 ， 该 公司 持续 获得 
优势 和 深刻 见解 。 

伊丽莎白 的 经 历 变 得 越 来 越 普 遍 ， 随 着 网 络 攻击 激增 ， 需要 不 再 禁 铀 于 本 公司 内 部 。 每 个 企业 都 处 在 自己 的 生态 系统 中 


心 ， 要 全 面 地 发 展 适应 力 。 对 于 大 多 企业 来 说 ， 在 通 往 数字 化 的 路 上 ， 这 种 生态 系统 思维 对 核心 商业 策略 至 关 重 要 ， 对 于 网 络 安 
全 来 说 也 是 一 样 的 。 


很 多 企业 已 经 开始 参与 协作 活 享 共同 面 对 的 挑战 及 经 历 的 正式 和 不 正式 的 关系 网 络 ， 到 分 享 情报 及 威胁 数 
据 的 更 为 结构 化 的 组 织 网 络 。 不 过 ， 除 了 这 些 ， 从 共同 的 业务 实践 、 政 府 的 角色 及 学 术 机 构 、 私 营 与 公共 部 门 合作 关系 方面 来 
讲 ， 所 有 利益 相关 者 都 需要 意识 到 并 贡献 于 更 广泛 的 数字 化 环境 。 另外， 已 有 重要 提议 被 提出 ， 以 进行 系统 性 改变 ， 这 将 很 大 程 
度 上 改变 运营 环境 的 本 质 属 性 。 


创建 有 适应 力 的 数字 化 生态 系统 需要 什么 


经 过 与 业务 高 管 、 技 术 管理 者 、 监 管 者 、 执 法 部 门 、 民 间 团 体 领导 等 人 十 讨论 ， 我 们 得 出 围绕 三 个 主题 可 采取 措施 的 潜在 领 
域 框架 ( 见 表 9-1) 。 利 益 相 关 者 可 利用 这 个 作为 指南 ， 有 助 于 他 们 就 自身 能 力 达成 一 致 观点 、 确 定 接 下 来 的 精确 步骤 、 讨 论 角 
色 与 责任 。 此 框架 的 更 为 完整 版 将 呈现 在 本 章 后 面部 分 ( 见 表 9-2) 。 


表 9-1 构建 数字 化 适应 力 生态 系统 的 措施 


HH 
阅 
当 


页 域 


国家 网 络 安 全 策略 

国内 政策 及 激励 措施 
公共 及 国际 政策 对 外 政策 

端 对 端 刑 事 司法 系统 

公共 事业 


研究 信息 共享 
知识 传递 

团体 活动 团体 自治 
能 力 建设 共享 资源 
互相 帮助 


风险 市 场 


系统 对 £ * TS Lip > I 
系统 活动 向 互联 网 车 入 安全 性 /变化 


表 9-2 ”构建 可 行 的 数字 化 适应 力 生 态 系统 的 建议 


制度 上 准备 就 绪 公共 及 国际 政策 系 统 


治理 国际 网 络 安全 战略 人 研究 风险 市 场 

。 基 于 业务 风险 指 |。 将 全 面 和 透明 的 国家 |。 增强 教育 和 意识 。 扩 大 网 络 安 全 保 
定 信 息 资 产 的 优 | 网 络 安全 战略 与 所 有 |。 鼓励 就 网 络 安 全 优先 | 险 市 场 的 范围 
完 级 政策 领域 的 战略 与 流 | 考虑 和 关注 政策 对 | 及 广度 

* 将 网 络 安全 融合 | 程 相 融合 企业 和 宏观 经 济 的 
到 整个 企业 的 风 |。 合 并 私营 与 民间 机 构 及 | 影响 并 进行 研究 
险 管 理 与 治理 流 | 经 济 与 安全 问题 创造 载 励 白 帼 研究 的 
程 中 去 * 为 国家 战略 实施 和 推广 | ”氛围 


。 来 自 最 资深 管理 | 建立 主管 机 构 
层 在 实践 与 政策 
上 的 引导 


制度 上 准备 就 绪 公共 及 国际 政策 
能 力 建设 共享 资源 
* 培养 与 政府 、 高 校 及 
私营 部 门 的 伙伴 关 
系 以 求 扩展 技能 


项 目 /网 络 开 发 端 对 端 刑 事 司 法 系统 
“为 最 重要 的 信息 | 确保 执法 机 关 有 能 力 
资产 提供 差别 | 和 资源 去 调查 网 络 犯 
保护 罪 

“让 一 线 员 工 参 与 |。 为 调查 和 起 诉 网 络 罪犯 制 
对 他 们 所 使 用 的 | 定 合 适 、 人 全面、 敏捷 的 
信息 资产 的 保护 法 律 条 款 
“将 网 络 安全 融 人 |“ 确保 办 案 人 员 足 够 了 解 
技术 环境 网 络 安全 生态 系统 以 进 
“部 署 积极 主动 的 | 行 法 定 诉讼 程序 

防御 措施 对 抗 攻 
击 者 
“不 断 测 试 以 提升 
应 急 响 应 能 力 


国内 政策 及 激励 措施 
* 开启 私营、 公共 、 民 间 团 
体 之 间 的 对 话 ， 以 研制 
适当 的 政策 和 市 场 机 制 
* 建立 支持 执法 机 关 的 高 
效 、 适 当 灵 敏 的 政府 
机 制 


对 外 政策 
“建立 国家 网 络 安全 原则 
* 确定 当地 、 州 及 国家 级 别 
的 网 络 安全 负责 人 

“在 执法 机 关 间 设立 正式 
和 非 正式 的 沟通 渠道 


“在 负责 网 络 安全 的 国家 
级 机 构 间 创造 可 彼此 协 
作 的 互 操作 性 

* 周 绕 起 诉 网 络 罪犯 努力 
协调 国家 与 国际 政策 
“建立 治理 这 一 问题 、 有 
多 方 参与 的 办 法 


信息 共享 


* 如 果 法 律 上 可 行 。 找 
到 不 同 机 构 之 间 信 
息 共享 的 机 制 

"提高 ISAC/ 计 算 机 
应 急 响应 团队 及 其 
他 信息 共享 渠道 的 
质量 

。 促 进 可 彼此 协作 、 可 
延续 的 自动 化 系统 
来 共享 信息 

“为 网 络 安全 事件 有 

关 的 信息 提供 通用 

协议 


( 续 ) 
系 统 


嵌入 安全 性 
“探索 建立 更 安全 
的 互联 网 的 方 
法 

“研发 量化 网 络 风 
险 影 响 的 方法 


制度 上 准备 就 绪 公共 及 国际 政策 系 统 


公共 事业 

。 确 保 应 急 啊 应 能 力 不 断 
进化 和 稳健 

。 提 高 对 网 络 安全 技术 的 


教育 投资 

。 资 助 一 项 网 络 安全 研究 
议程 

。 为 企业 与 政府 间 有 限 的 
信息 共享 提供 “安全 港 ” 


保护 


与 各 方 更 为 深入 的 讨论 之 后 ， 我 们 发 现 ， 很 明显 的 是 ， 在 很 多 国家 和 地 区 ， 这 些 方法 只 得 到 了 相对 不 完全 或 不 成 熟 的 应 用 。 
原因 为 何 ” 特 别 是 考虑 到 有 多 种 多 样 的 私营 角色 、 政 府 机 构 、 非 政府 机 构 ， 每 个 角色 都 有 其 约束 和 优先 项 ， 因 此 利用 以 上 工具 甚 
至 比 在 公司 个 体 里 实施 最 佳 实践 还 要 难 。 


与 网 络 安全 相关 的 一 些 问题 可 能 是 高 度 情 绪 化 和 政治 化 的 ， 网 络 安全 并 非 孤 立 问题 ， 不 可 避免 的 是 ， 它 涉及 诸如 情报 收集 、 
经 济 竞 争 力 、 消 费 者 隐私 等 问题 ， 而 解决 这 些 问 题 时 ， 不 会 像 处 理 如 何 给 网 络 分 段 、 在 编程 中 利用 什么 实践 这 样 的 问题 时 那样 冷 


静 、 客 观 。 


鉴于 网 络 安 全 的 多 面 性 ， 就 此 话题 的 公共 对 话 仍旧 不 完整 、 无 条 理 。 诸 如 知识 产权 保护 、 国 家 安全 、 诈 骗 消 费 者 、 恐 怖 主义 
及 有 组 织 犯 罪 等 问题 ， 或 可 在 有 关 网 络 安全 的 讨论 中 全 部 得 到 解决 ， 然 而 ， 在 数码 时 代 之 前 的 环境 里 ， 即 便 这 些 问 题 可 能 是 相互 
关联 的 ， 我 们 也 要 逐步 形成 不 同 的 机 构 、 不 同 的 机 制 去 处 理 它们 。 


网 络 安全 本 质 上 是 个 全 球 性 问题 ， 而 很 多 机 构 是 在 一 国 范围 内 的 ， 这 两 者 之 间 存 在 根本 性 脱节 。 在 攻击 者 及 其 目标 可 能 分 
在 10 多 个 时 区 的 时 候 ， 国 家 政府 如 何 有 效 地 出 台 政策 来 促成 数字 化 适应 力 。 很 多 时 候 ， 跨 国企 业 能 最 为 直观 地 体验 这 种 脱节 。 
超大 型 银行 、 制 造 商 、 制 药 公司 的 CISO 指 出 ， 与 地 方 上 的 执法 部 门 合作 解 决 一 项 可 能 触及 三 大 洲 的 犯罪 极为 困难 ， 或 者 ， 向 监 
管 者 解释 他 们 将 如 何 保护 单一 的 全 球 网 络 是 极 具 挑战 性 的 。 当 然 ， 在 不 同 国家 ， 不 仅 会 有 不 同 的 监管 制度 、 执 法 实践 ， 还 会 有 截 
然 不 同 的 文化 规范 ， 例 如 有 关 员 工 隐 私 间 题 。 


结果 ， 就 如 何 继续 在 这 些 领 域 协 作 、 制 定 政策 会 存在 重大 分 歧 。 几 乎 所 有 人 都 同意 企业 应 更 为 广泛 地 共享 网 络 攻击 情报 ， 一 
些 CISO 表 示 ， 这 可 以 在 现 有 的 法 律 制度 下 实现 ， 而 其 他 人 则 不 认同 ， 称 除非 企业 免 于 法 律 责任 ， 他 们 才 会 共享 更 多 情报 。 几 乎 
每 个 人 都 同意 ， 对 网 络 安全 技术 与 实践 进行 更 多 研究 会 是 有 价值 的 。 一 些 CISO 建 议 公共 部 门 应 在 设置 和 资助 研究 议程 上 扮演 重 
要 角色 ， 另 一 些 人 称 ， 在 网 络 安全 如 此 波动 的 领域 里 ， 政 府 无 法 明智 地 决定 研究 优先 级 。 


对 监管 规章 的 态度 是 缺乏 共识 的 一 个 很 好 示例 。 四 成 的 技术 高 管 表示 ， 总 的 来 说 ， 网 络 安全 监管 以 积极 有 效 的 方式 鼓励 企业 
提高 安全 性 ， 相 反 ，46% 的 人 称 ， 网 络 安全 监管 要 么 要 耗费 很 多 时 间 和 精力 也 没有 让 企业 更 为 安全 ， 要 么 更 有 力 地 让 企业 变 得 更 
不 安全 了 。 不 同行 业 对 此 持 有 不 同 的 声音 。 只 有 1/4 的 银行 高 管 对 网 络 安全 监管 抱 有 积极 看 法 。 他 们 认为 ， 监 管 规章 缺乏 效率 、 
被 困 于 过 时 的 实践 中 。 很 多 时 候 ， 他 们 称 监管 者 缺乏 专业 知识 以 对 网 络 安全 实践 做 出 正确 的 判断 。 相 比 之 下 ， 近 一 半 的 医疗 服务 
业 技 术 高 管 、 约 2/3 的 保险 业 技术 高 管 对 网 络 安全 监管 持 积极 态度 。 他 们 说 ， 昌 然 监管 规章 可 能 未 达到 最 优 ， 但 其 可 鼓励 资深 管 
理 团队 对 网 络 安全 投入 所 需 的 资源 和 关注 ( 见 图 9-1) 。 


很 多 企业 会 觉得 这 样 的 辩论 离 自 己 有 些 遥 远 ， 但 是 ， 没 有 积极 塑造 更 广泛 的 生态 系统 的 话 ， 会 带 来 相关 花费 与 风险 。 举 例 来 
说 ，2012 年 11 月 ， 在 联合 国 技术 标准 机 构 的 世界 会 议 上 ， 有 效 地 将 对 互联 网 的 控制 移交 各 国家 政府 的 议案 以 微弱 劣势 没 能 获得 
多 人 担心 ， 如 果 通 过 了 ， 结 果 就 会 是 互联 网 被 分 裂 和 军事 化 ， 造 就 出 本 书 此 前 描述 的 数字 反 冲 场景 的 极端 版 本 1。 然 

大 多 企业 领导 甚至 不 知道 有 这 次 的 投票 发 生 “。 
政府 监管 对 管理 网 络 安全 相关 风险 的 能 力 有 何 影响 ? 
%， 受 访 者 的 百分比 
不 同行 业 的 回应 


合计 银行 业 医疗 健康 高 科技 保险 
无 影响 /影响 有 限 14 18 0 21 8 


总 的 来 说 以 积极 有 效 的 40 25 
方式 鼓励 企业 提高 安全 性 


耗费 很 多 时 间 和 精力 也 
33 36 38 43 25 
没有 真正 让 企业 更 为 安全 
通过 要 求实 施 没有 意义 
的 措施 或 拿 走 更 高 级 别 优 13 | 15 14 0 
先 权 措施 的 资源 ， 让 我 们 
变 得 更 不 安全 了 


图 9-1 高 管 对 网 络 安全 监管 的 看 法 因 所 处 行业 不 同 而 相差 很 大 ， 银 行业 大 多 持 怀疑 态度 


为 创造 有 适应 力 的 生态 系统 而 协作 


在 2011 年 ， 世 界 经 济 论坛 制定 了 一 系列 网 络 适 应 力 原则 ， 关 注 于 理解 生态 系统 中 各 角色 的 相互 依存 关系 、 领 导 职 责 、 风 险 
管理 、 促 进 价值 链 观 念 。 这 些 原则 是 企业 保护 自己 要 采取 的 具体 措施 发 展 的 关键 背景 ， 而 贯穿 本 书 的 内 容 即 为 企业 如 何 更 好 地 保 
护 自 己 。 同 样 ， 这 些 原则 也 为 企业 、 政 府 及 其 他 机 构 之 间 协 作 构建 更 有 适应 力 的 生态 系统 可 采取 的 一 系列 措施 提供 了 基本 出 发 
点 。 总 的 来 说 ， 这 些 原 则 强调 了 数字 化 生态 系统 中 不 同 参与 者 相互 协作 的 机 会 。 


认识 到 相互 依存 关系 


数字 化 生态 系统 中 每 个 角色 都 依赖 于 其 他 角色 。 企 业 依赖 于 供应 商 来 保护 人 敏感 信息 资产 ， 依 赖 于 学 术 机 构 来 培养 网 络 安全 人 
才 ， 依 赖 于 同行 来 共享 信息 等 。 政 府 依赖 于 企业 保护 私有 的 关键 基础 设施 ， 政 府 间 也 相互 依赖 ， 以 跟踪 跨国 网 络 犯罪 。 基 于 这 些 
相互 依存 的 关系 ， 数 字 化 生态 系统 中 的 所 有 参与 者 必须 尝试 不 同类 型 的 协作 ， 以 达成 单一 个 体 无 法 实现 的 目标 。 


理解 领导 职责 


在 此 前 的 章节 里 ,我 们 讲述 了 资深 管理 层 实施 数字 化 适应 力 所 需 的 改变 的 重要 性 。 考 虑 到 网 络 安 全 的 跨 职能 本 质 以 及 所 涉及 


的 复杂 选择 ， 只 有 资深 管理 层 可 批准 决定 、 引 领 持续 进步 所 需 的 组 织 认同 感 ， 甚 至 在 构建 有 适应 力 的 生态 系统 中 更 为 如 此 。 涉 
角色 的 多 样 性 、 议 程 的 冲突 、 问 题 的 复杂 性 ， 都 要 求 商 业 、 公 共 、 学 术 及 非 政府 组 织 最 高 领导 层 的 参与 。 


注重 风险 管理 
相 比 通过 政治 或 技术 角度 来 讨论 网 络 安 全 ， 要 认识 到 网 络 安全 更 是 有 关 经 济 学 的 一 一 涉及 优化 对 于 风险 与 经 济 收益 的 选择 


一 一 会 提供 根本 上 不 同 的 语 境 、 表 达 方 式 及 目标 ， 会 迫使 人 们 思考 这 个 问题 : “我 们 试图 保护 的 是 什么 ”” 毕竟 ， 最 安全 的 数 
字 化 环境 是 断 开 互联 网 的 ， 但 这 代价 是 什么 呢 ? 


英国 政府 在 其 2011 年 网 络 安全 策略 中 声明 : “我 们 对 英国 2015 年 的 愿景 是 ， 从 充满 活力 、 有 适应 力 的 安全 网 络 空 间 获取 巨 
大 的 经 济 和 社会 价值 ， 其 中 ， 我 们 的 行动 由 自由 、 人 公正、 透明 及 法 治 的 核心 价值 观 所 指引 ， 促 进 繁荣 、 国 家 安全 ， 建 立 强大 的 社 
会 。” 为 了 实现 这 些 ， 英 国政 府 的 首要 目标 是 “成 为 世界 上 在 网 络 空间 经 商 最 为 安全 的 地 方 ”。 英 国政 府 明确 认识 到 数字 化 适应 
力 可 以 带 来 的 经 济 效益 ， 推 动 经 济 共同 繁荣 是 所 有 领导 人 都 可 团结 起 来 齐心 协力 去 达成 的 政治 目标 。 


在 全 球 经 济 中 ， 所 有 国家 之 间 都 存在 竞争 ， 同 时 ， 它 们 要 就 一 系列 通行 规则 进行 协作 ， 有 了 这 些 规则 才 有 竞争 。 本 书 此 前 在 
几 个 场景 中 所 概述 的 对 巨大 经 济 收益 及 机 会 成 本 的 认可 ， 明 确 为 各 国政 府 提供 激励 ， 确 保 它 们 不 允许 不 充分 、 不 健全 或 分 散 的 方 
法 妨碍 集体 的 机 会 。 


促进 价值 链 观念 


如 本 书 其 他 章节 所 讲述 的 ， 网 络 安全 在 商业 行为 中 扮演 着 日 益 重要 的 角色 。 罪 犯 可 从 企业 的 供应 商 处 偷 取 重要 信息 ， 或 者 罪 
犯 可 利用 商业 伙伴 间 的 网 络 连接 作为 实施 网 络 攻 击 的 渠道 。 数 字 化 生态 系统 中 很 多 角色 越 来 越 开 始 有 价值 链 观 念 ， 他 们 创建 标准 
及 合同 条 款 来 促进 更 为 先进 精密 的 网 络 安全 实践 。 


尽管 面临 着 诸多 挑战 ， 我 们 与 很 多 利益 相关 者 的 工作 会 议 证 实 ， 网 络 适 应 力 原则 强调 了 一 系列 重要 、 可 行 的 措施 ， 其 中 很 多 
涉及 自愿 合作 而 非 国 家 命令 。 政 府 可 利用 国家 安全 策略 来 提升 机 构 间 、 与 私营 及 非 政府 利益 相关 者 的 协作 ， 可 以 提升 端 对 端 刑事 
司法 系统 的 技术 和 能 力 ， 利 用 多 边 组 织 来 促进 跨越 国界 线 的 合作 。 企 业 可 深化 和 拓展 工作 力度 ， 促 进 信息 共享 、 最 佳 实践 及 能 
力 ， 同 时 ， 为 评估 和 转移 与 网 络 攻击 相关 的 风险 构建 更 为 有 效 的 市 场 。 


国内 与 国际 政策 

在 国内 与 国际 政策 方面 两 种 措施 开始 涌现 : 利用 国家 网 络 策略 、 提 升 端 对 端 刑事 司法 系统 的 能 力 。 

国家 网 络 安全 战略 

工作 会 议 强调 了 每 个 国家 拥有 与 所 有 国家 国内 和 国际 政策 的 策略 与 程序 相 协 调 的 综合 、 透 明 的 国家 网 络 安全 策略 的 价值 。 在 
撰写 本 书 之 时 ， 只 有 36 个 国家 发 布 或 宣布 发 展 这样 的 策略 ， 而 其 中 一 半 来 自 欧盟 ( 见 图 9-2) 3。 自 20 世 纪 90 年 代 ， 美 国 就 注重 
网 络 安全 ， 也 发 布 了 不 少 网 络 安全 文件 ， 但 是 没有 总 体 战 略 。 相 比 之 下 ， 在 爱沙尼亚 ， 这 里 是 最 为 依靠 数字 化 的 社会 之 一 ， 该 国 
拥有 与 国家 防御 措施 相 结 合 的 网 络 安 全 战略 。 在 欧洲 其 他 国家 ， 如 法 国 和 德国 的 战略 都 给 各 自 的 政府 以 相对 积极 的 角色 ， 而 荷兰 


与 芬兰 的 计划 注重 协作 作为 战略 的 基石 。 如 果 没 有 专门 的 战略 ,各 种 措施 会 变 得 重 卉 、 分 散 ， 最 坏 的 情况 下 ， 投资、 项目 及 政策 
与 立法 措施 会 出 现 冲 突 ， 所 有 这 些 都 会 影响 经 济 增长 。 


美国 
英国 
瑞典 
西班牙 
新 西 兰 
人 荷兰 
美国 卢森堡 美国 
斯 洛 伐 克 ”英国 德国 ”瑞士 ”匈牙利 
爱沙尼亚 ”日 本 欧盟 法 国 挪威 芬兰 
美国 ”加拿大 日 本 澳大利亚 澳大利亚 加拿大 捷克 荷兰 。 欧盟 
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图 9-2 ”经 济 合作 与 发 展 组 织 (OECD) 国家 开始 实施 网 络 安全 策略 

数字 化 适应 力 生 态 系统 中 支柱 的 成 熟 曲线 ， 如 图 9-3 所 示 。 

在 开发 和 执行 国家 战略 之 时 ， 各 国政 府 应 吸收 尽 可 能 广泛 的 公共 与 私营 机 构 的 观点 和 需求 。 恰 是 开发 这 样 的 策略 的 过 程 ， 可 
以 作为 开启 与 不 同行 业 机 构 领 导 者 对 话 的 众 化 剂 。 

积极 的 企业 参与 将 尤为 关键 。 在 我 们 的 讨论 中 ， 大 多 国家 政府 承认 ， 在 保护 居民 与 确保 在 社会 层面 实现 数字 化 适应 力 的 目标 
上 ， 企 业 有 着 推动 作用 。 它 们 也 承认 互联 网 所 带 来 的 经 济 利 益 ， 没 有 意愿 去 阻碍 通过 数字 化 创造 经 济 价值 。 正 因 如 此 ， 政 府 渴望 
企业 的 参与 、 积 极 去 了 解 私营 部 门 在 这 一 领域 的 需要 。 不 过 ， 在 与 决策 者 的 很 多 谈话 中 ， 我 们 听 到 一 个 挑战 ， 即 与 私营 部 门 的 协 
商 结果 往往 不 很 清晰 ， 常 见 的 反应 就 是 : “如 果 我 们 询问 30 家 不 同 的 企业 特定 领域 需要 什么 样 的 政策 ， 我 们 会 得 到 30 种 不 同 的 


回答 。 


支柱 成 熟 级 别 


按照 现 有 的 原则 与 指 
导 方 针 的 成 熟 度 曲线 


公共 及 国际 政策 

“ 国家 网 络 策略 

* 端 对 端 刑事 司法 系统 
" 国内 政策 及 鼓励 办 法 
" 对 外 政策 

* 公共 事业 


团体 

" 人 研究 

" 信息 共享 

" 知识 传递 

" 团体 自治 

" 能 力 建设 共享 资源 
" 互相 帮助 


系统 
“ 风险 市 场 
“ 其 入 安全 性 


和 ' ' ' ' 
1 和 


图 9-3 ”数字 化 适应 力 生态 系统 中 支柱 的 成 熟 曲 线 


企业 经 常 谈论 政策 调整 的 必要 性 ， 但 它们 也 有 责任 在 政策 需要 上 达成 清晰 的 定位 。 当 然 ， 有 一 些 不 一 致 在 所 难免 一 一 很 可 
能 确实 如 此 ， 政 府 推出 的 网 络 安全 政策 对 医疗 健康 及 汽车 制造 业 的 作用 是 不 同 的 ， 但 目前 即便 这 种 级 别 的 清晰 也 是 缺乏 的 。 


有 越 来 越 多 的 国家 开始 积极 考虑 ， 应 对 网 络 风险 该 制定 什么 样 的 策略 及 监管 措施 。 很 多 国家 寻求 私营 部 门 提供 意见 ， 不 过 ， 
在 全 球 互联 的 数字 化 环境 中 ， 如 果 企业 团体 不 能 在 制定 关键 政策 需要 上 相互 配合 ， 就 会 提升 出 现 高 度 分 散 局 面 的 风险 。 


最 后 ， 鉴 于 在 此 过 程 中 涉及 的 利益 相关 者 非常 广泛 ， 主 管 机 构 可 能 需要 负责 策略 的 成 功 实施 和 推广 ， 以 避免 在 责任 和 意向 上 
遇 到 挑战 。 这 也 能 为 利益 相关 者 提供 透明 的 程序 以 及 清晰 负责 的 联系 点 。 就 在 政府 努力 应 对 商业 团体 不 同 的 观点 之 时 ， 企 业 与 非 
政府 机 构 也 在 努力 理解 不 同 政府 机 构 的 议程 与 措施 。 


端 对 端 刑事 司法 系统 


执法 机 天 需要 有 能 力 和 资源 去 调查 网 络 犯罪 ， 要 有 综合 、 敏 捷 的 法 律 条 款 支 持 它 们 的 调查 和 起 诉 。 一 家 金融 服务 机 构 的 CIO 
说 : “各 机 构 可 任 自 己 的 力量 采取 自己 想 要 的 所 有 措施 ， 但 是 ， 如 果 没 有 执法 机 制 来 追捕 和 起 诉 犯罪 者 ， 那 我 们 的 行动 就 变 得 宫 
无 意义 。” 在 不 侵害 隐私 权 的 前 提 下 ， 要 加 强 执 法 和 对 数字 领域 犯罪 的 起 诉 ， 政 府 有 一 系列 措施 可 实施 。 

“促进 法 律 现代 化 和 明确 性 以 治理 网 络 犯罪 。 创 新 的 步伐 让 法 律 条 款 中 出 现 了 缺 是 需要 解决 的 。 例 如 ， 美 国 《 包子 通信 隐私 法 》 


(ECPA) 是 管理 通信 隐私 的 主要 立法 ， 但 这 个 法 律 是 在 1986 年 制定 的 ， 当时 电子 邮件 还 不 党 、 社 交 网 络 甚至 尚未 孕育 而 生 。 或 许 ， 在 网 络 
犯罪 量刑 准则 上 与 在 \ 现 实 世 界 “ 与 其 罪行 相当 的 犯罪 量刑 上 也 存在 着 重要 差异 。 


人 
' 在 非 专业 部 门 拓展 基本 的 数字 化 素质 。 起 诉 和 为 嫌犯 辩护 ， 要 依赖 于 掌握 足够 知识 、 理 案件 程序 的 法 官 和 律师 。 检 察 官 和 法 官 无 须 是 
网 络 安全 专家 ， 但 是 他 们 需要 掌握 基本 的 数字 化 知识 ， 比 如 他 们 要 了 解 互联 网 如 何 运作 。 同 样 ， 为 选 定 的 执法 机 构 提供 基本 水 平 的 培训 ， 以 便 
让 他 们 知道 如 何 处 理 网 络 犯罪 行为 的 举报 、 遵 循 正确 的 流程 来 处 理 。 

-加强 与 私营 部 门 的 协作 。 遭 受 网 络 犯 罪 的 企业 与 执法 机 关 之 间 会 存在 真正 的 紧张 。 有 时 ， 各 方 会 谨 责 对 方 神 神 秘 秘 、 不 合作 、 只 关心 自己 所 
TM 要 让 执法 机 关 与 企业 间 有 效 地 合作 变 得 更 加 容易 ， 这 时 ， 建 立信 任 的 措施 可 起 到 作用 ， 如 执法 机 关 提 供出 
纲 的 前 简报 。 


-投资 于 数据 收集 与 分 析 法 。 报 告 犯罪 能 为 警方 提供 模式 识别 的 数据 ， 在 资源 策划 及 处 理 有 组 织 犯罪 上 ， 这 都 是 有 帮助 的 一 这 对 所 有 类 型 的 犯 
Li 70000 0 600 40 0 03 0 0 。 因 此 ， 针 对 犯罪 个 案 汇 总 和 分 析 数 
E 力 会 起 到 巨 


,为 路 国 执法 合作 建立 机 制 。 考 虑 到 网 络 犯罪 的 全 球 性 ， 对 将 网 络 非 犯 强 之 以 法 来 说 专门 机 构 与 其 他 国家 的 协作 至 关 重 要 。 当 国家 间 政 策 有 
差异 时 ， 这 些 机 制 显得 尤为 重要 一 对 网 络 间谍 活动 程度 持 不 同意 见 的 国家 之 间 仍 会 合作 打击 在 线 市 场 的 其 诈 与 破坏 行为 。 


随 着 潜在 网 络 犯罪 扩展 范围 ， 在 网 络 领域 的 有 效 刑事 司法 变 得 更 加 重要 。 我 们 的 生活 日 益 与 互联 网 紧密 相连 ， 由 于 产品 遭 攻 
击 使 得 个 体 所 面 对 的 风险 范围 将 增加 ， 而 且 ， 将 不 会 总 有 显著 的 奖励 措施 让 该 产品 的 供应 商 去 承担 这 种 风险 。 已 经 有 人 开始 询问 
有 关 无 人 特 驶 汽车 、 网 络 控制 的 家 用 电器 等 的 缺点 ， 这 些 如 果 遭 受 攻 击 ， 都 是 有 潜力 造成 严重 损失 的 。 


团体 活动 


国家 团体 和 企业 团体 可 共同 实施 一 系列 措施 。 共 享 研究 包括 集中 资源 投资 于 开发 新 技术 与 技巧 ;信息 共享 包括 收集 攻击 者 及 
其 所 利用 的 渠道 有 关 的 情报 ; 知识 传递 包括 分 享 如 何 经 营 网 络 安全 组 织 机 构 的 最 佳 实践 ， 能力 建 设 共 享 包括 为 诸如 供应 商 评估 或 
应 急 响 应 等 活动 创建 共享 的 实用 程序 ;互相 帮助 包括 承诺 在 团体 成 员 遭 受 攻 击 时 提供 协助 ; 团体 自治 包括 设立 论坛 以 配合 优先 级 
事务 ， 例 如 ， 在 各 国政 府 制定 网 络 安全 战略 时 提供 意见 。 


团体 活动 可 以 灵活 的 方式 帮助 解决 复杂 问题 ， 协 调 所 涉及 各 方 的 不 同 利益 ， 国 家 和 私营 机 构 两 者 都 可 从 团体 活动 中 获 益 良 


多 。 
国家 间 协 助 


在 创建 有 适应 力 的 数字 化 生态 系统 中 ， 国 家 有 机 会 去 协助 他 国 ， 有 时 是 通过 多 边 机 构 。 举 例 来 说 ， 美 国 国家 组 织 (OAS) 
致力 于 确保 成 员 国之 间 的 政治 凝聚 力 ， 促 进 这 一 区 域内 网 络 安全 政策 的 制定 与 实施 。 多 年 来 ， 随 着 OAS 网 络 安 全 计划 逐步 发 
展 ， 该 计划 可 从 多 方面 、 量 身 定做 的 方式 处 理 挑战 ， 针 对 各 国家 特定 需要 ， 建 立 起 可 以 采取 的 最 适合 的 行动 方针 。 


为 开发 网 络 安全 能 力 ，OAS 网 络 安 全 计划 与 成 员 国 一 起 实施 多 项 举措 ， 例 如 ， 其 中 有 个 项 目 发 展 国家 计算 机 安全 应 急 响应 
团队 (Computer Security Incident Response Teams，CSIRT) 。 自 2006 年 起 ， 美 洲 的 CSIRT 数 量 从 5 个 增 至 18 个 。 为 确保 在 
区 域 层 面 CSIRT 之 间 更 好 地 合作 ，OAS 建 立 起 一 个 网 络 ， 这 个 网 络 不 仅 作 为 沟通 平台 ， 也 是 各 团队 执行 应 急 响应 程序 的 工具 。 


OASs 网 络 安全 计划 也 成 功 地 指导 着 成 员 国 发 展 国家 网 络 安全 战略 。 在 2011 年 ， 哥 伦比 亚 与 OAs 广 泛 深度 协作 之 后 ， 成 为 这 
一 地 区 首 个 正式 采用 国家 战略 的 国家 ， 继 其 之 后 又 有 巴拿马 (2012 年 ) 、 特 立 尼 达 和 多 巴 哥 (2013 年 ) 。OAS 网 络 安全 计划 也 
会 实施 技术 援助 任务 ， 旨 在 解决 国家 的 网 络 安全 需求 ， 包 括 技术 应 急 响 应 课程 、 风 险 管理 训练 。 最 近 几 年 ， 该 计划 还 与 私营 部 门 
合作 ， 生 成 美洲 国家 网 络 安全 相关 的 综合 性 报告 。 这 些 报告 旨 在 详 述 成 员 国 在 减缓 网 络 风 险 中 的 经 历 、 增 加 拉丁 美洲 及 加 勒 比 海 
国家 对 网 络 安全 事务 的 了 解 。 


这 里 所 讲 OAS 的 计划 可 为 其 他 政府 间 团体 活动 提供 一 种 样板 ， 尤 其 是 从 发 达 国 家 向 欠 发 达 国 家 传递 能 力 。 对 一 些 国家 来 
说 ， 他 们 还 必须 努力 应 付 健康 、 教 育 等 基础 服务 甚至 是 国家 债务 问题 ， 让 投资 于 网 络 安全 成 为 优先 事务 可 能 是 有 困难 的 。 跨 国企 
业 及 富裕 国家 可 提供 帮助 ， 提 供 能 力 建设 所 需 资源 一 这 也 符合 他 们 自己 的 利益 ， 可 创建 更 安全 、 更 稳定 的 数字 化 经 济 。 


学 术 机 构 、 区 域 性 及 国际 机 构 、 民 间 组 织 可 在 识别 和 促进 各 国家 参与 团体 活动 机 会 上 起 重要 角色 。 他 们 可 成 为 诚实 的 护 客 ， 
促进 研究 、 信 息 共享 及 知识 传递 上 的 合作 。 


企业 间 团 体 建设 


某 一 特定 行业 的 技术 高 管 一 次 又 一 次 地 说 : “说 到 网 络 安全 问题 ， 我 们 都 在 同一 条 船上 。” 这 种 观点 推动 行业 里 一 些 企业 间 
积极 协作 。 过 去 ， 大 型 银行 的 CISO 会 非 正式 地 交换 意见 、 共 享 情报 ， 但 只 限于 他 们 本 人 认识 和 信任 的 同行 之 间 。 近 来 ，ISAC， 
尤其 是 金融 服务 与 国防 工业 的 协会 逐渐 成 为 跨行 业 间 协作 的 有 效 论坛 。 举 例 来 说 ， 较 小 型 银行 的 CI5O 将 通过 金融 服务 ISAC 收 到 
的 情报 ， 归 功 于 2012 年 年 底 到 2013 年 年 初 抵抗 严重 DDoS 攻击 运动 的 能 力 。 


自 2012 年 以 来 ， 来 自 北 美洲 最 重要 医疗 健康 机 构 中 有 40 家 的 CISO 及 其 他 资深 网 络 安全 高 管 定期 会 面 ， 共 享 情报 、 交 流 实 际 
的 最 佳 实践 、 讨 论 有 公共 政策 影响 的 问题 、 开 发 促进 国家 健康 |ISAC 的 战略 ， 当 “心脏 出 血 ” 及 Bash 漏 洞 得 到 曝光 之 时 ， 其 成 员 
间 分 享 了 补救 策略 。 近 来 ， 该 组 织 还 开始 计划 共享 应 用 及 执行 常见 网 络 安全 活动 。 所 有 这 些 协 作 都 有 助 于 企业 更 有 效 地 保护 自 
身 。 


在 行业 内 企业 间 团 体 建设 方面 来 讲 ， 还 有 很 多 事 要 做 。 不 是 每 个 行业 都 像 金融 服务 或 医疗 健康 那样 有 协作 模型 ， 因 此 是 有 机 
会 扩展 和 深化 团体 活动 的 。 除 了 共享 应 用 之 外 ， 企 业 之 间 协 作为 应 对 网 络 攻 击 的 风险 制定 更 为 标准 的 行业 模型 ， 会 非常 有 力 。 


如 本 书 前 面 所 述 ， 大 多 企业 缺乏 评估 网 络 风险 的 有 效 和 可 复 验 的 机 制 ， 一 个 稳健 、 标 准 的 风险 模型 可 立即 改变 讨论 的 性 质 。 
稳健 的 风险 评估 方法 可 让 网 络 安全 讨论 完全 融入 商业 决策 中 ， 而 不 是 泛泛 地 讲 风险 ， 这 会 让 对 话 变 得 更 商业 化 。 恰 如 一 份 新 的 投 
资 提 案 要 考虑 国家 风险 、 货 币 风 险 、 运 营 风 险 及 竞争 挑战 ， 就 会 包括 对 网 络 安全 风险 的 自信 估量 ， 同 样 ， 一 种 新 产品 或 服务 提案 
会 包括 相关 的 数字 风险 。 这 会 使 很 多 网 络 安全 专家 努力 去 实现 的 事情 成 为 现实 : 在 开发 或 投资 周期 伊始 便 将 安全 性 考虑 在 内 ， 而 
非 事 后 才 想 起 。 不 管 是 投资 、 新 商机 、 新 产品 或 服务 开发 ， 还 是 仪 改变 信息 或 运营 环境 ， 它 都 可 促进 达成 “安全 性 设计 ”， 行业 
组 织 的 支持 将 大 幅 提高 可 信和 度 、 促 进 企业 个 体 中 的 采用 。 


系统 性 活动 


达成 有 适应 力 的 生态 系统 的 一 些 想法 具有 根本 性 和 系统 性 。 比 如 ， 近 些 年 ， 有 很 多 不 同 的 提议 ， 为 了 安全 性 ， 重 塑 互联 网 固 
有 的 开放 式 架 构 ， 但 是 没有 人 为 此 制定 一 个 实际 可 行 的 方法 一 一 要 么 是 技术 模型 ， 保 留 互联 网 之 所 以 有 价值 的 灵活 性 ; 要 么 是 
政治 模型 ， 让 各 方 联合 以 实现 4。 相 比 之 下 ， 利 用 更 好 、 更 标准 化 的 风险 评估 技术 让 深度 、 流 动 性 更 强 的 市 场 转移 网 络 攻击 相关 
的 风险 ， 会 大 幅 促进 一 个 有 适应 力 的 生态 系统 的 出 现 。 


当然 ， 企 业 可 买 保险 来 防范 网 络 攻击 的 风险 一 保费 收入 每 年 增长 约 13%5， 但 市 场 是 有 局 限 性 的 。 保 险 业 高 管 承认 ， 他 们 
在 网 络 保险 上 尚 处 早期 发 展 阶段 ， 缺 乏 数据 和 模型 ， 而 承保 其 他 类 型 的 风险 ， 几 十 年 里 ， 保 险 公司 都 依赖 着 数据 和 模型 。 鉴 于 
此 ， 保 险 公司 将 涵盖 通知 成 本 、 法 律 辩护 、 取 证 、 修 复 成 本 ， 而 不 会 涵盖 第 三 方 责任 6， 名 誉 损失 、IP 或 商业 机 密 丢 失 等 ”。 几 乎 
所 有 保险 公司 会 限制 保险 范围 最 高 为 2500 万 美元 。 因 此 ， 一 些 公司 即便 投保 了 ， 它 们 也 只 能 拿 回 攻击 损失 的 一 小 部 分 作为 补偿 
的 金额 。 结 果 ， 在 全 球 所 有 保险 产品 市 场 总 额 的 4.9 万 亿美 元 中 ?， 网 络 保险 总 保费 只 有 20 亿 美元 5， 只 有 1/3 的 企业 认为 值得 买 
份 网 络 保险 10。 


更 为 成 熟 的 网 络 风 险 保险 市 场 ， 将 改变 企业 与 更 广泛 的 社会 ， 保 险 将 为 企业 提供 重要 的 额外 工具 ， 会 成 为 正常 化 网 络 风 险 处 
理 的 重要 一 步 。 我 们 从 不 同类 型 的 利益 相关 者 处 听 到 ， 通 过 保险 的 形式 对 网 络 攻击 风险 定价 ， 有 助 于 高 级 管理 层 更 有 效 地 参与 网 
络 安全 问题 。 即 使 是 有 关 企业 是 应 购买 保 额 5 亿美 元 还 是 7 亿美 元 的 争论 ， 都 会 对 风险 整体 水 平 的 讨论 提供 有 用 的 框架 。 更 具体 
地 说 ，CISO 也 许可 以 让 花 500 万 美元 用 于 差别 保护 成 为 值得 的 ， 因 为 这 可 降低 700 万 美元 的 保险 费用 ， 就 如 同 设备 经 理 往往 会 依 
据 减 少 的 保险 费 来 证 明 灭 火 系统 的 价值 。 


更 完善 的 保险 市 场 也 可 减少 混乱 一 网 络 安全 担忧 已 然 在 供应 链 引出 的 混乱 。 例 如 ， 很 多 潜在 的 IT 外 包 服务 购买 者 会 要 求 与 
客户 数据 丢失 相关 的 无 限 责任 ， 而 这 自然 是 供应 商 不 愿意 的 事情 。 一 些 上 T 外 援 采购 高 管 告诉 我 们 ， 如 果 他 们 能 够 询问 潜在 客户 希 


望 供应 商 承 担 多 少 责任 ， 进 而 购买 适当 的 保险 并 将 价格 加 入 交易 中 ， 他 们 的 商业 往来 能 更 有 效率 。 明 确 的 责任 成 本 能 促进 谈判 顺 
利 进 行 。 


中 小 型 企业 (SME) 可 成 为 更 大 的 获 益 者 。 大 型 企业 或 许 能 够 承担 他 们 的 网 络 安全 花费 、 投 大 额 保险 、 作 为 经 营业 务 一 部 
分 来 管理 损失 。 一 般 地 ，SME 无 法 支撑 在 专业 知识 、 资 源 、 公 共 与 私营 合作 关系 等 的 同等 水 平 的 投资 ,虽然 ， 零 售 银行 客户 可 
得 到 由 网 络 欺诈 引起 的 损失 的 全 部 赔偿 ， 但 是 同等 保护 没有 涉及 小 型 企业 ， 他 们 必须 自己 承担 损失 。Verizon 公 司 的 数据 泄露 报 
告发 现 ，71% 的 网 络 攻击 瞄准 的 是 员工 数 在 100 及 以 下 的 企业 11。 


转移 风险 需要 有 商定 的 方法 来 测量 风险 及 有 关 攻 击 及 其 影响 的 数据 。 对 于 企业 个 体 来 说 ， 开 发 任何 测量 网 络 风 险 的 模型 都 是 
很 有 挑战 的 。 很 多 企业 有 一 些 项 目 可 尝试 整合 安全 与 风险 实践 ， 同 时 ， 各 种 模型 正在 浮现 。 自 然而 然 地 ， 就 如 同 其 他 风险 一 样 ， 
这 也 会 有 局 限 性 和 注意 事项 ， 实 践 将 注重 实用 及 可 测量 的 。 例 如 ， 对 CEO 令 人 篮 众 的 行为 的 泄露 ~、 管 是 否 通 过 网 络 安全 攻 
击 一 一 无 法 事先 完全 预测 。 就 因为 泄露 是 可 能 通过 网 络 攻击 带 来 的 ， 并 不 意味 着 企业 对 这 件 事 的 处 理 方式 应 和 客户 数据 或 知识 
产权 被 盗 的 方式 一 样 。 


不 过 ,一 个 关键 挑战 将 是 如 何 开发 通用 的 测量 模型 一 一 或 不 那么 通用 的 模型 ， 以 在 企业 机 构 之 间 、 市 场 之 间 共 享 风险 信 
息 。 这 不 仅 需 要 不 同 企业 模型 间 协 调 ， 还 将 需要 整合 会 计 、 审 计 及 保险 角度 ， 虽 然 很 有 挑战 性 ， 但 并 非 不 可 能 ， 一 小 部 分 企业 已 
经 开始 与 合作 伙伴 进行 非 正式 谈话 分 享 模型 。 另 外 一 项 重要 挑战 就 是 开发 网 络 攻 击 相 关 的 细 粒 度 、 综 合 的 数据 集 。 


除非 必须 ， 企 业 明 显 不 情愿 透露 被 攻击 的 情况 1 <， 不 过 ， 更 为 开放 地 共享 数据 一 一 哪怕 是 以 变相 的 方式 ， 也 将 对 保险 市 场 
的 发 展 有 很 大 帮助 。 保 险 公司 对 历史 损失 有 越 多 的 了 解 ， 就 会 采取 更 为 强 有 力 的 承保 政策 。 或 许 ， 企 业 倾向 于 不 公开 自己 的 专属 
模型 ,但 是 ， 至 少 共享 这 些 模 型 的 一 些 组 件 ， 也 将 带 来 巨大 益处 ， 他 们 可 以 共同 开发 最 佳 组 合 实践 、 标 准 化 模型 ， 这 两 者 都 能 迅 
速 加 快 稳健 的 网 络 风险 市 场 的 出 现 ， 而 这 将 对 大 家 都 有 好 处 。 


企业 要 尽 可 能 的 保护 自身 ， 要 尽 可 能 地 实施 则 在 数字 化 适应 力 的 运营 模式 ， 而 这 些 企业 仍 是 处 在 一 个 更 广泛 的 数字 化 生态 系 
统 中 ， 这 个 系统 中 有 供应 商 、 客 户 、 各 种 类 型 的 治理 机 构 、 学 术 机 构 及 非 政 府 组 织 。 这 些 角色 如 何 相互 合作 或 者 竞争 ， 会 成 为 达 
成 数字 化 适应 力 与 最 大 化 在 线 经 济 的 潜力 的 巨大 催化 剂 或 障碍 。 


在 单一 企业 内 部 实施 推动 适应 力 的 先进 实践 是 困难 的 ， 更 为 困难 的 是 ， 构 建 有 适应 力 的 数字 化 生态 系统 。 系 统 中 有 着 各 式 各 
样 的 角色 ， 他 们 有 着 不 同 的 目标 、 约 束 、 治 理 模 型 ， 问 题 是 复杂 的 ， 有 时 带 有 政治 性 。 


即便 如 此 ， 也 有 着 前 进 的 道路 。 我 们 采访 的 大 多 数 利益 相关 者 强调 了 协作 的 重要 性 : 政府 与 私营 部 门 之 间 协 作 开 发 国家 网 络 
安全 战略 、 诸 多 类 型 的 角色 共同 协作 促进 刑事 司法 系统 能 力 以 解决 网 络 犯罪 、 国 家 间 协 作 向 发 展 中 国家 传播 网 络 安全 能 力 、 行 业 
之 间 协 作 以 互相 帮助 、 不 同类 型 企业 间 协 作 以 创造 网 络 保险 业 的 稳健 市 场 。 


就 如 同 高 级 管理 人 员 要 参与 进来 确保 企业 在 保护 自身 方面 有 所 进展 一 样 ， 所 有 高 层 领导 者 都 要 参与 建立 以 确保 在 构建 有 适应 
力 的 数字 化 生态 系统 上 取得 进展 。 例 如 ， 部 长 及 机 构 负责 人 必须 推动 国家 网 络 安全 战略 、 资 深 业 务 主 管 必须 确保 企业 提供 有 效 的 
投入 。 要 构建 适当 的 调查 和 起 诉 网 络 罪犯 的 能 力 ， 将 需要 来 自 最 高 层 执法 与 司法 官员 的 关注 。 同 样 ， 高 级 业务 经 理 需 强调 有 适应 
力 的 数字 化 生态 系统 的 重要 性 ， 帮 助 企业 参与 所 需 的 协作 。 
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